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الإ هاء 


إلى من كل البشرية له تدين 

إلى سيد الخلق محمد النبي 
الى من افديهم عمري و كل السنين 

إلى الغاليين أمي و أبي 


إلى من كانوا يضيئون لي الطريق 
ويساندوني ویتنازلون عن حقوقهم 


إخوتي الأعزاء رفقاء الحياة 


إن الشكر والحمد لله عز وجل الذي بلطفه ومنه الكريم تيسرت الأمور 
فأوجد الأسباب وقدر الأقدار. 


انه من دواعي سروري وعميق عرقاني أن أقدم شکري وامتناني لاستاذي 
حسن عبد الله أبكر» لكل الجهود الكريمة التي بذلها بالإاش راف على البحث 
طوال فتره التحضير. 


وكل اعتزازي وشكري لأسرتي الغالية الذين ه م أناروا لي دربي باللنصيحة 


والتشجيع والدعاء . 


واشكر عميد كلية الحاسوب م,محمد بخاري» ومسجلها م. عمر عبد 
الرحمن» وجمبع أفراد جامعة الملك فيصل من اداريين وهيبة تدريس 
وزملاء. 


كما اشكر صديقي م,محمد نعيم الذي ساهم في انجاز البحث و أتمني له 
التوفيق والنجاح في حياته. 

واشكر كل من ساعدني وقدم لي النصيحة اسأل الله أن يجزيهم عني خير 
الجزاعء. 


0 


١ 
سراف چ اا د‎ 
. إن الحمد لله نحمده و نستعینه» ونصلي ونسلم على نبینا محمد وآله وصحبه‎ 
أا تعد‎ 


فإن التطورات الحديثة في تقنية المعلومات أحدثت تغيرات مستمرة في أساليب العمل»إذ أصبحت 
عملية انتقال المعلومات عبر الشبكات المحلية و الدولية و أجهزة الحاسوب من الأمور الروتينية في عصرنا 
الحالي و إحدى علامات العصر المميزة التي لا يمكن الاستغناء عنها لتأثيرها الواضح في تسهيل متطلبات 
الحياة العصرية من خلال تقليل حجم الأعمال و تطوير أساليب تخزين و نقل المعلومات حيث أن انتشار 
أنظمة المعلومات أدى إلى أن تكرن عرضة للاختراق» لذلك أصبحت هذه التقنية سلاحا ذو حدين تحرص 


امات غل افا هو فرفر سيل الحمامة ل 


إن موضوع الأمن في طبقة التطبيقات يرتبط ارتباطا وثيقا بأمن الشبكات فلا يوجد أمن للتطبيقات إذا لم 
يراعى أمن الشبكات» و في ظل التطورات التي تحدث في العالم و التي أثرت على الإمكانيات النقنية 
المتقدمة المتاحة و الرامية إلى اختراق منظومات الحاسوب بهدف السرقة أو تخريب المعلومات أو تدمير 
أجهزة الحاسوب» كان لا بد من التفكير الجدي لتحديد الإجراءات الدفاعية و الوقائية و حسب الإمكانات 
المتوفرة لحمايتها من أي اختراق أو تخريب» و كان على إدارة المنظمات أن تتحمل مسؤولية ضمان خلق 


أجواء أمنية للمعلومات تضمن الحفاظ عليها. 


إن هذا البحث يقدم حلا واقعيأً للراغبين في فهم طرق تحقيق الأمن في طبقة التطبيقات و فهم أمن 
الشبكات على حد سواءء و قد اعتمدنا التدرج و عرض المعلومات بالتفصيل التقني عند الحاجة لكي يكون 
مرجع للطلاب و ليساهم مع غيره من الكتب السابقة في إضافة المزيد من البحوث للمكتبة العربية. 


وما توفيقي إلا بالله عليه توکلت... 


مختصر البحث: 

يتناول هذا البحث أمن طبقة التطبيقات في النموذج المرجعيا058» حيث نذكر مفاهيم عامة حول 
الشبكات وأنواعها ثم نوضح ما هو النموذج المرجعي ونتكلم عن طبقاته السبع ونعرف بطبقة 
التطبيقاتءنتحدث عن مفهوم الأمن وبشكل خاص أمن الشبكات »ءوالمخاطر التي تتعرض لها من فيروسات 
وهاكر وغيره» ثم نذكر طرق حماية البيانات من تشفير وتوقيع الكتروني» وشهادات رقمية ثم نتحول إلى 
موضوع بحتنا "أمن طبقة التطبيaقاٽ "Security of Application Layers‏ 


والتقنيات المستخدمة في .HASH.IDS.|PSCE.TLS.SM8.SS|L: in‏ 


تم نتحدث عن الجدار الناري(اا۴W۵١٣|۴)‏ ودوره في حماية طبقة التطبيقات تم المنطقة المحايدة(0×N2)‏ 
ودورها مع الجدار الناري في توفير الحماية لطبقة التطبيقات. 


أهداف البحث 


يهدف هذا البحث إلى: 


1. التطرق والوقوف على المخاطر التي تتعرض لها الشبكة وخاصة في طبقة التطبيقات ١٩i210امAp‏ 
Layer‏ . 
2. كيفية حماية التطبيقات من المخاطر المختلفة . 
3. معرفة الوسائل والتقنيات المستخدمة في تامين التطبيقات. 
أهمية البحث 
تكمن أهمية البحث في النقاط التالية: 
1. يتطرق لأمن طبقة التطبيقات باعتبارها الطبقة التي تشكل الواجهة الأساسية التي تتعامل معها برامج 
المستخدم كمتصفح الويب وغيرها. 
2. تعتمد تطبيقات المستخدم النهائية على البروتوكولات في طبقة التطبيقات لأداء وظيفة شبكية معينة. 
3. يوضح أنه في حالة تعرض طبقة التطبيقات لاختراق أو تعديل غير مرخص له فانه يتم التغيير و 


التأثير في موارد الشبكة. 


الفصل الأول: مفاهيم حول الشبكات 
1 تعريف شبكة الحاسبات 


الشبكة هي عبارة عن مجموعة حاسبات متنوعة و مختلفة (طرفيات» حاسبات شخصية» محطات 
عمل» حاسبات متوسطة»ء حاسبات كبيرة أو عملاقة) مرتبطة ببعضها البعض و ذلك عن طريق وحدات ربط 
)NNetwork) Cards)‏ ووسائط (من كوابل محوريةھاط2٥‏ اCo0axia«‏ أسلاك مجدوlة Pair Twisted‏ 
وألياف ضوئية ١٥طأ۴‏ نام0 ) و أجهزة ملحقة (مثل جھاز تقويةerاfنام am‏ İو«‏ مکكرر «Repeater‏ 
مجمعات توصيل ٥طا٣‏ » جسر أو مسار ربطهوك|ا8۲) مكونة بذلك شبكةء متكاملة[4]. و بهذه الطريقة 
يمكن لأي حاسب أن يستفيد من الخدمات التي تقدمها الحاسبات الأخرى المرتبطة مع الشبكة حيث انه 


يندر حاليا استخدام الحاسب بمعزل عن الحاسبات الأخرى. أنظر الشكل (1.1.) 


الشكل (1.1): يمتل الشبكات واستخدامها[4] 


1.. أهداف شبكات الحاسبات 
تسمح شبكة الحاسبات بنقل المعلومات المتعددة الوسائط (بيانات» نص» صورة» رسم أو صوت) بين 


الخاهيات بدن ١‏ غتهار اللسافا تو ذف اكات الى 


1. المشاركة في الموارد المختلفة : المعدات المادية (طابعة» قرص صلب» معالج)ء البرامج و النظم (نظم 
إدارة قواعد البيانات» برامج مكلفة) أو البيانات (ملفات» جداول أو صفحات الويب) حيث يمكن لكل 
حاسب في الشبكة أن يستفيد من معدات» برامج أو بيانات تقدمها حاسبات أخرى. 

2. الحصول على بيانات و معلومات من قواعد بيانات و بنوك معلومات في أماكن بعيدة. 

3. نقل البيانات» المعلومات و البريد الإلكتروني من مقدمي الخدمات و توزيعها على المستفيدين في أماكن 
مختلفة و بعيدة. 

4. نقل البريد الآلي من مقدمي خدمات الحاسبات الخادمة البريد و توزيعها علي الحاسبات 
المستفيدة(المشتركين) في أماكن مختلفة و بعيدة المسافات. 

5. الاعتماد على حاسبات أخرى في حالة حدوث عطل أو خلل في حاسب ما. 

6. سرعة إنجاز تتفيذ عمليات معقدة (تطبيقات رياضيات» محاكاة أو بحوث عمليات) بمشاركة أكثر من 
حاسب أو معالج في تنفيذ العمليات المطلوبة. 

1.هيكلة الربط: نموذج الخادم/المستفيد Client/Server Model‏ 

نموذج الخادم/المستفيد هو الهيكلة المستعملة حاليا لربط حاسب بحاسب أخر عبر الشبكة. ويكون فيها 

المستفيد (أ١٠ا٣)‏ برنامج أو جهاز (طرفيةء حاسب شخصي أو أي نوع من أنواع الحاسبات) يحتاج خدمة 

مقدمة من طرف برنامج أو حاسب أخر يسمي الخادم »)58۲۷8١(‏ والخدمات المقدمة من الحاسب الخادم 
تتلاءم مع أهداف الشبكة مثلا خدمة طباعةء خدمة ملفات» خدمة صفحات متعددة الوسائطء خدمة بريد 


إلكتروني الخ... 


و تكون الهيكلة على الشكل التالي: 


٤‏ 1- يطلب خدمة 


4- يكمل العمل 2- ينفذ الخدمة 
الشكل(2.1): هيكل نموذج الخادم/المستفيد 


نوع الخدمة اسم الخادم 

Printer Server / ةعlڊط طباعة خاد‎ 

File Server / تافلlم ملفات خادم‎ 

صفحات خاد صفڪlٽ‏ / Web Server‏ 
بريد إلكتروني خادم بريد إلكتروني / 5۵۲۷۵۲ ا¡ھ-E‏ 
شبكة خادم الشبكة أو ملقم الشبكة / Network‏ 


خادم الشبكة أو ملقم الشبكة ( 56۲۷8۲ )٣0اه‏ مثلا يقوم بإدارة و تنظيم مهام الشبكة و يوجد به نظام 


.(NOS : Network Operating System) تشغيل الشبكة‎ 


ملاحظة: يمكن وجود أكثر من خادم في نفس الشبكة مهما يكون نوعها. 


1.. المكونات الرئيسية لشبكات الحاسبات 

تتكون الشبكة من مكونات مادية و برمجيات» وتنقسم المكونات المادية إلى ثلاثة أنواع : الحاسبات 
(e۲5ا€0mPu)‏ بشتى أنواعهاء الكروت و الوسائط (4ال۷6) و الأجهزة الملحقة ( كعاام0)» أما 
البرامج فتنقسم إلى برامج نظم تشغيل الشبكة» برتوكولات الاتصال و نظم إدارة الشبكة [4]. 


(Software) ٽlيجaربئا,.1.4.1‎ 


تشمل البرمجيات عدة أنواع من بينها: 
أً- نظم تشغيل الشبكة NOS (Network Operating Systems)‏ 


تتحكم نظم تشغيل الشبكة في كل المكونات المادية للشبكة و التنسيق بينها و تنظم طريقة الاستفادة منها 
ونظام ۷s N۲‏ ٥٣ا۷‏ هو مثال من هذه الأنظمة. 


ب - البروتوكولات ( ومداولات) الاتصاJ Communication Protocols‏ 

تسمح البروتوكولات بتبادل البيانات و المعلومات بين الحاسبات المرتبطة بالشبكةء تتتوع البروتوكولات 
حسب تتوع الشبكات و البيانات و المعلومات المتبادلة. فشبكة الانترنت تستعمل مجموعة بروتوكولات 
رة ڊuwlم TCP/IP (Transmission Control Protocol/Internet Protocol)‏ 
وهناك بروتوكول لتبادل الملفات و FTP (File Transfer Protocol) Jay‏ 
كما يوجد كذلك بروتوكول لتوصيل النصوص المتشعبة و المعلومات المتعددة الوسائط و يسمى ۳١1۲۲۴‏ 
(Hyper Text Transfer Protocol)‏ 


Network Management Systems sql ج-نظم إدارة‎ 


تسمح نظم إدارة الشبكة بإدارة و توجيه الشبكة بطريقة ملائمة و التنبؤ بالمشاكل التي يمكن أن تحدث و 
إيجاد الحلول لها. 


1.أنواع الشبكات 


0 


التغطية الجغرافية أو الوسائط المستعملة أو تطبيقاتها و استخدامها. 
1...أساليب التوصيل 


أساليب الربط تعبر عن كيفية ربط الحاسبات بعضها بعض على أساس نموذج الخادم/المستفيد. 


Point-to-Point Communications طlقill‎ Ãuداحİ‎ Jلاصتا شبكات‎ -١ 
يتم فيها اتصال مستفيد (حاسب شخصي أو طرفية) بالخادم البعيد (حاسب رئيسي) عن طريق وصلة‎ 
مخصصة لهاء يمكن أن تكون هذه الوصلة دائمة (و تكون خط مباشر مستأجر من شركة اتصالات من‎ 

المستفيد إلى الخادم) أو موقتة ( وتكون عن طريق شبكة الهاتف). 
يتميز هذا النوع بإمكانية وجود اتصال مباشر بين المستفيد و الخادم في جميع الأوقات إلا أن بعض 
الخطوط يمكن أن لا تستغل كليا و يعتبر هذا هدر للموارد. 


شكل(3.1): شبكة اتصال أحادية النقاط 


ب - شبكات اتصال متعددة Multi-Point Communications Mill‏ 


عند وجود إمكانية تجميع جغرافي لعدة حاسبات مستفيدة حيث أنها تشارك في نفس الوسيط الذي يربطها 
بالحاسب الرئيس أو الخادم فيسمى هذا الأسلوب بالمتعدد النقاط و يكون أكثر اقتصاد إلى الموارد لكنه 
يتطلب و جود محكم مع مبرمج لتشغيل وتيسير لكل جهاز إرسال و استقبال بياناته» و يوضح الشكل التالي 
شبكة اتصال متعددة النقاط: 


شكل(4.1): شبكة اتصال متعددة النقاط 


onoo 
حاسب رئیسي ا ا‎ 


1.-.أنواع الشبكات من حيث التغطية الجغرافية 


يمكن تقسيم شبكات الحاسبات من حيث التغطية الجغرافية إلى ثلاثة أنواع : الشبكات المحليةء الشبكات 
الإقليمية و الشبكات الواسعة. 


LAN (Local Area Network) أً- شبكات الحاسبات المحلية‎ 


INTERNET 


Cabla Modem 


Windows Ese 192.168.100.1 


192.168.0.4 


Windows for Windows XP 
Workgroups 3.11 142.168.0.2 
192.168.0.3 


شكل(5.1):الشبكات المحلية 


الشبكات المحلية تتميز بكونها محدودة جدا في المسافات (لا تتجاوز بعض الكيلومترات) بين الحاسبات 
التي تربطها أو كونها كذلك مملوكة من مؤسسة ما. إلا انه يمكن ربط عدة شبكات محلية في أماكن وذات 
استعمالات مختلفة يبعضها البعض بواسطة أجهزة ملحقة (مثل العبارات أو مسارات الربط). 


تتميز شبكة الحاسبات المحلية بسرعتها الفائقة لنقل البيانات التي تتراوح بين 10 إلى 0 أو 1000 ميجا 
بت في الثانية للشبكات العالية السرعة (كمطM‏ 1000 ۲ه 100 0ا 10) حسب الوسيط و التقنيات 
المستعملة (كوابل محوريةء أسلاك مبرومة أو ألياف ضوئية).الشكل رقم 6 يبين ثلاثة بنيات مختلفة (بنية 


المسار المشترك : لوهاممه ا كا6 البنية النجمية : ¥وهاممه ٣ا‏ ١هاS‏ والبنية الحلقية 9© 


.(Topology 


a 
E 


Bus 


Ring Star 
الشكل(6.1):بنيات مختلفة لتقنيات الشبكات‎ 


ملاحظة: يمكن إنشاء شبكة محلية باستخدام تقنية واحدة أو دمج أي عدد من التقنيات المذكورة سابقا في 
الشكل (6.1). 


WAN (Wide Area Network) ب -شبكات الحاسبات الواسعة‎ 


شكل(7.1): شكل الشبكات الواسعة 


تشمل الشبكات الواسعة كل أنواع الشبكات المستخدمة في نقل البيانات و المعلومات من أماكن بعيدة و في 
مساحة جغرافية واسعة (من عدة كيلومترات إلى آلاف الكيلومترات)» و تستخدم فيها كل أساليب الاتصال 
السابق ذكرهاء و تحتوي الشبكة الواسعة على عدد كبير جدا من الطرفيات و الحاسبات. 

سرعة الشبكات الواسعة ضعيفة مقارنة بالشبكات المحلية حيث أنها غالبا ما تعتمد على شبكة الهاتف و 
مجموعة كبيرة من أجهزة ملحقة من أهمها المودم (1048۳) ذو السرعة المنخفضة التي تقاس بالكيلو بت 
في التانية (5م K٥‏ ×) بينما تقاس سرعة الشبكات المحلية بالميجا بت في الثانية (كئمط >). 

يوجد مثلا مؤسسات كبيرة كشركات الطيران تستعمل الشبكات الواسعة حيث أن مكاتبها موزعة في كل أنحاء 


العالم. 


MAN (Metropolitan Area Network) ج-شبكات الحاسبات الإفليمية‎ 


شكل(9.1):الشبكات الإقليمية 


تستخدم الشبكات الإقليمية في مساحات جغرافية متوسطة نسبيا تصل إلى عدة كيلومترات و تستعمل في 


ربط حاسبات موجودة في نفس المدينة أو مجموعة قريبة من المدن. 
6., مفاهيم حول النموذج المرجعي [؟ك0 


اختصار Systems اnterconnection Basic Reference Model) J‏ enم0)‏ المرجع وضعته 
المنظمة الدولية للمعايير Standards O0rganizati0^(|50(‏ nternationalا‏ سنةı1983رقم‏ 
8لخاص بتصميم الشبكات .ويحدد هذا النموذج كيفية تخاطب بروتوكولات ومعدات الشبكات وكيفية 
عملها معاء هذا الطراز المرجعي اع٥١0" ۲۴1۴۲6١٥١‏ الذي حددته المنظمةء يقسم الاتصالات بين كل 
حاسب وآخر إلى سبع طبقات۲5٥۷ه|ء‏ ليكون نموذج نظري وقاعدي لتصاميم بروتوكولات الاتصالات بين 
الشبكات الحاسوبية[12[]1]. 


6.1...مهامه 


وظائف الاتصال والتنظيم حسب مرجع ا058 مقسمة على سبع طبقات (۷6۲5ه1ا) مختلفة. لكل طبقة 
دور يضم مجموعة مهمات يتطلب تحقيقها داخلها وعبر التواصل مع الطبقة التي تسبقها أو التي تليها حسب 


1. النموذج القاعدي 
2. نظام الحماية 

3. التسمية والعنونة 

4. الإطار العام للتسيير (9 اا UهR)‏ 

تم مراجعة المرجع سنة 1994 بتركيز على الجزء الأول. 


يوصف المرجع على أنه نظري» ذلك أن المرجع يصف بشكل عام المهام والأدوار التي تقوم بها أنظمة الربط 
الشبكية من دون الدخول في التفاصيل التقنية أو ذكر للتكنولوجيات المستعملة» بعض تفصيل المرجع من 
حيث العمليات والوظائف لم يتم لحد الآن دمجها في أحد من الأنظمة[12]. 


2.6.1 .أهدافه 


1. ضمان نقل البيانات عبر الشبكة بطريقة آمنة وسليمة. 
. توفير نفقات عرض الحزمة الدولي. 
. توفير جودة أفضل لخدمة نقل الصوت عبر بروتوكول الإنترنت. ۷٠١۴‏ 


. إدارة الخدمة وتوستع الشبكة. 


ڍا ڍنن خط 


طبقات المرجع 


The 7 Layers of the OSI Model 


Application 


Data Link 
Physical 


الشكل (10.1) الطبقات السبع 
يعرض مرجع (ا05) على شكل 7 طبقات (التي تكونه) بشكل عمودي» أعلاه الطبقة السابعة وأسفله الطبقة 


الأولى. [5] 


1..وظائف الطبقات: 


1. الطبقة الفيزيائية أوطبقة المكونات المادية۲٠ره|ا‏ اةءأئرط۴ 
هذه الطبقة مسؤولة عن انسياب البيانات عبر وسائط الاتصال» فهي تتعامل مع البيانات التي تكون في 


المادية٣۷#ه|‏ اةءأور۴ بالجهاز المستقبل. 
2. طبقة ربط البيانات Data link layer‏ 

عند تلقي البيانات من الطبقة الماديةء تقوم طبقة ربط البيانات بالتحقق من صحة وكفاءة تدفق وانسياب 
البيانات من الطبقة الماديةء كما تتحقق من عدم وجود أخطاءء ثم تغلف البتات كأأط في إطارات 
frames‏ ]1[. 


a Data bits 
Link Tesiinalion | Source | Olher Frame 
Frame address | address ا‎ ... 1001101010001001... | footer 


3. طبقة ائٹشبكIayerû Network‏ 
هذه الطبقة تحدد بروتوكولات تمرير البيانات واناه وةل لضمان وصول المعلومات من محطة لأخرى 
على الشبكة. فعند وصول البيانات لطبقة الشبكةء فإن عنوان مصدر وعنوان وجهة البيانات التي يحتويها كل 

إطار ۲4۳ يتم فحصه لتحديد إذا ما كانت البيانات قد وصلت إلى الوجهة النهائية [1]. 


4. طبقةÃ‏ lأJai Transport layer‏ 
هذه الطبقة تهيئ تمرير البيانات بين الأنظمة أو المضيفات كأكه وتحدد بنية الرسالة ع29كوم" 


structure‏ كما تشرف على صحة الإرسال» وذلك بإجراء بعض العمليات لمراجعة الأخطاء[1]. 


Session layer روlھتll طبقة‎ .5 


هذه الطبقة تنسق الاتصالات وتحافظ على مقومات الجلسة طول مدة استخدام النظام كما تبدأً وتنهي 
الاتصالات بين التطبيقات» حيث تقوم بتأمين وتسجيل العميل 9”أووهاء وبعض العمليات الإدارية الأخرى 
]1[ 


6. طبفَة lئتقديp Presentation layer‏ 
تحدد هذه الطبقة كيفية تهيئة البيانات» وعرضهاء وتغييرهاء وفك أكوادها عن طريق الترجمة من صيغة 
التطبيق إلى صيغة الشبكةء وبالعكس. وهذه الطبقة مهمتها تهئية المعلومات التي ترسلها طبقة التطبيقات 


.[1] Application layer 


7. طبقة التطبيقlت Application layer‏ 
هذه هي الطبقة العليا في نموذج وصل الأنظمة المفتوحةء وهذه الطبقة توفر خدمات الشبكة للمستفيد 
النهائي وهي تستفيد من الطبقات التي تحتها ولكنها معزولة تماما عن تفاصيل المعدات والأجهزة» وتتعامل 
هذه الطبقة مع البيانات المرسلة إلى والواردة من الطبقة السادسة بالنموذج» وهي طبقة 


45 مع الشبكة» فهي تقدم خدمات التطبيقات متل خدمة انتقال الملفات» والبريد الإلكتروني» وادارة 
قواعد البيانات» وبرامج محاكاة الطرفيlات «terminal emulati0¬‏ وأي خدمات تقدمها برامج الشبكةء 
وخدمات الشبكة في هذه الطبقة تكون عادة بروتوكولات تتعامل مع بيانات المستفيد والتطبيقات 
HTP‏ elnetا.SMP.‏ ۴۲۴ هي تطبيقات توجد في هذه الطبقةءفمتلاء في حالة التطبيق المتعلق 
بمتصفح الويب 6۲ء۷٥5۲‏ ٥۷ء‏ فإن بروتوكول طبقة التطبيقات 1۴١1ء‏ يغلف البيانات المطلوبة لإرسال 


واستقبال محتويات صفحة الريب ۴٥a9ةم .Neb‏ 
ومن البروتوكولات التي تعمل في طبقة التطبيقات: 
(HTTP) Hyper Text Transfer Protocol‏ 


يؤمن تصفح صفحات الويب عن طريق تأمين تناقل المعطيات بين مخدم الويب 56۲۷6١‏ ۷66 ومتصفح 
lنويب .[12]web browser‏ 


(FTP) File Transfer Protocol 
يؤمن تناقل الملفات عبر الشبكة[12].‎ 
(SMTP) Simple Mail Transfer Protocol 


يؤمن تراسل البريد الإلكتروني عبر الشبكة[12]. 
TELNET.DNS «SNMP‏ 


ومن الملاحظ أن تطبيقات المستخدم النهائية لا تعمل ضمن طبقة التطبيقات فمتصفح الویب مثلا ليس من 
طبقة التطبيقات ولكنه يستخدم البروتوكول 1۲۳۴ الذي ينتمي إلى طبقة التطبيقات من أجل التخاطب مع 


Application Î Application 
Presentation | Presentation 
Session Session 
Transport Transport 
Network 1 Network 


Data Link ُ Data Link 


Physical Physical 


كيفية عمل الطبقات السبعة حسب الشكل(11.1) 


يقوم الحاسب ۸ بتحضير البيانات لإرسالها إلى الطرف 8 المستقبل حيث تصل البيانات بالطبقة المكافئة لها 
و ذلك لأن المستويات تتحدث نفس اللغة. 


يقوم الحاسب ۸ ببدء الإرسال في القمة و نزولاً باتجاه الطبقة الفيزيائية وعندما تمر الرزمة من مستوى إلى 


أخر يقوم كل مستوى بإضافة معلومات العنونة و التنسيق الخاصة بها. 
عندما تمر الرزمة عبر وسط النقل يتم الاتصال بين الحاسبين عن طريق هذه الطبقة . 
تقوم الطبقة الفيزيائية في الجهاز 8 المستقبل بتحويل الدفق التسلسلي من البتات إلى رزم . 


تقوم كل طبقه بأخذ معلومات العنونة و التنسيقات التي قامت بإضافتها سابقاً. 


مخاطر الشبكات و طرق حماية المعلومات داخل الشبكات 


الفصل الثاني: التأمين والطرق المختلفة لحماية المعلومات داخل الشبكات 
2 ما هو الأمن ؟ 

يعتمد تعريف الأمن إلى حد كبير على السياق» لأن كلمة الأمن تشير إلى طيف واسع من المجالات 
ضمن وخارج حقل تقنية المعلومات» قد نتكلم متلا عن الأمن عند توصيف الإجراءات الوقائية على الطرق 
العامة أو عند استعراض نظام حاسوبي جديد يتمتع بمناعة عالية ضد فيروسات البرمجيات» لقد تم تطوير 
أنظمة عدة لمعالجة الجوانب المختلفة لمفهوم الأمن[11]. 
بناء على ذلك فقد قمنا بصياغة مصطلح "أمن الشبكات" ضمن تصنيف محدد للأمن بغية تسهيل مهمتنا في 
دراسة الأمن في مجال الشبكات» تقوم هذه الوحدة بتعريف أمن الشبكات ضمن سياق أمن المعلومات» أي 
أننا عندما نتحدث عن أمن الشبكات فإننا نعني أمن المعلومات في الشبكات. 
Information security ٽlمولlnlاl‎ ja .2.2‏ 

لكي نتمكن من استيعاب مفهوم أمن المعلومات لا بد من استعراض السياق التاريخي لتطور هذا المفهومء 
لقد ظل هذا المجال من الأمن حتى أواخر السبعينيات معروفاً باسم أمن |اlJتصlلات Communication‏ 
Security )C0 MSEC (‏ والذي حددته توصيات أمن أنظمة المعلومات والاتصالات لوكالة الأمن القومي 


في الولايات المتحدة بما يلي: 


"المعايير والإجراءات المتخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الاتصالات 


ولضمان أصالة وصحة هذه الاتصالات'[11]. 


تضمنت النشاطات المحددة لأمن الاتصالات C05٤٥‏ أربعة أجزاء هي: أمن التشفير 0أمراC‏ 


security‏ أمن النقJ .ransmission Security‏ أمن الإشعاع Emission Security‏ والأمن الفیزیائي 


والتحقق من الهوية. 


أمن المعلومات = سربّة + سلامة + توفر + تحقق 


يمكن أن يكون هناك أمن من دون معلومات سريةء وهذا يضمن عدم اعتراض أن المستخدمين غير المصرح 
لهم» لا يستطيعون نسخ المعلوماتءفي الوقت نفسه» السلامة ضرورية جدا حيث يجب أن يكون للمنظمات 
ما يكفي من الثقة في دقة المعلومات التي تعمل عليهاءعلاوة على ذلك» أمن المعلومات يتطلب من 
المنظمات أن تكون قادرة على استرجاع البيانات» والتدابير الأمنية لا قيمة لها إذا كانت المنظمات لا يمكنها 
الوصول إلى المعلومات الحيوية التي يحتاجونها للعمل عليها .أخيراء المعلومات غير آمنة دون المصادقة 
عليها تحديد ما إذا كان يؤذن للمستخدم النهائي في الوصول [7]. 
İ.3.2مj‏ llڊكlٽت Networks Security‏ 

تعرزّف توصيات أمن أنظمة المعلومات والاتصالات لوكالة الأمن القومي في الولايات المتحدة أمن أنظمة 


المعلومات كما يلي: 


'حماية أنظمة المعلومات ضد أي وصول غير مرخص إلى أو تعديل المعلومات أثناء حفظهاء معالجتها أو 
نقلهاء وضد إيقاف عمل الخدمة لصالح المستخدمين المخولين أو تقديم الخدمة لأشخاص غير مخولين» بما 
في ذلك جمیع الإجراءات الضرورية لكشف» توتيق ومواجهة هذه التهديدات"'[11]. 
2.... تطبيق الخصائص الأمنية 

يقدم النموذج المرجعي ا05 مبدأً 'التكديس ۸١٥ه5".‏ إن استخدام نموذج للبروتوكولات يعمل وفق مبدأً 
الطبقات أو التكديس يعني أن كل طبقة ستستخدم وظائف الطبقة الأدنى منها فقط في حين تقوم بتخديم 
الطبقة التي تعلوها مباشرة فقطء ينعكس أسلوب التصميم وفق مبدا الطبقات بشكل مباشر على كيفية تطبيق 
الخصائص الأمنية. 
2 أهداف امن الشبكات 

يتضمن مفهوم أمن الشبكات الخصائص الأربعة المعرفة مسبقاً ضمن مفاهيم أمن الاتصالات وأمن 


الخراشيت: العرية: التق من اة الككال رالو كما أضوت الها خاضة جذةة فكانحة الاتگاز: 


: Privacy or Confidentiality Ãqرudl‎ 


التأكيد بأن المعلومات لم تصل لأشخاص» عمليات أو أجهزة غير مخولة بالحصول على هذه المعلومات 


(الحماية من إفشاء المعلومات غير المرخص). 

بحيث لا يطلع على المعلومات إلا الأطراف المسموح لها بذلك» وللحفاظ على الخصوصيةءلابد من التحكم 
بعملية الولوج» وأكثر طرق التحكم انتشارا هي:استخدام كلمات المرور 0۲۵sس5ءه۴»‏ والجدار الناري 
ااتا۴8. إضافة إلى شهادات الترخيص .[SJAuthorization CertificateS‏ 

التحقق من llوڀAuthenticationû:‏ 

إجراء أمني للتأكد من صلاحية الاتصال» الرسالة أو المصدر أو وسيلة للتحقق من صلاحية شخص ما 
لاستقبال معلومات ذات تصنيف محدد (أو التحقق من مصدر هذه المعلومات). 

إذ يجب على كلا الطرفين معرفة هوية الآخر لتجنب أي شكل من أشكال الخداع (مثل عملية التزوير 
وانتحال الشخصية)[8]. 

:Integrity Jnاكتlا‎ 

تعكس جودة أي نظام للمعلومات مدى صحة ووثوقية نظام التشغيل» التكامل المنطقي للتجهيزات والبرمجيات 
التي توفر آليات الحماية ومدى تناغم بناء المعلومات مع البيانات المخزنة. 


لابد من حماية عمليتي نقل المعلومات وتخزينهاء وذالك لمنع أي تغيير للمحتوى بشكل متعمد أو غير 
متعمد» وتكمن أهمية ذلك في الحفاظ على محتوى مفيد وموثوق به. وفي الغالب» تكون الأخطاء البشرية 
وعمليات العبث المقصود هي السبب في تلف أو تشويه البيانات. وينتج عن ذلك أن تصبح البيانات عديمة 
الجدوى» وغير آمنة للاستخدام [8]. 


: Availability رذgتl‎ 


الزضعرن الور ا انات ر خذ اف اتات ف لخا لها من فل تحاص ارقن ذلك 


مكافحة الانكار )المسوؤوiئيژً( :Non-repudiati0¬‏ 


التأكيد بأن مرسل البيانات قد حصل على إتثبات بوصول البيانات إلى المرسل إليه ويأن المستقبل قد حصل 
على إثبات لشخصية المرسل مما يمنع احتمال إنكار أي من الطرفين بأنه قد عالج هذه البيانات[6]. 


آليات معينة للحماية من إنكار المسؤولية: التشفير؛ التوقيع الالكتروني» التحكم بالوصول» سلامة البيانات» 
تبادل الصلاحيات» المرور الزائدء التحكم بالمسار» الشهادة القانونية. 
-آليات بينية للحماية (وسطية): 
الوظيفية الموثوقةء أغلفة الحمايةء كشف الأحداث» ممرات تدقيق الحمايةء إصلاح الحماية(الخلل)[6]. 
2,المخاطر التي تتعرض لها الشبكات: 

تحدث المشكلة الأمنية عندما يتم اختراق النظام من خلال أحد المهاجمين أو المتسللين (الهاكر) أو 
الفيروسات أو نوع آخر من أنواع البرامج الخبيثةء وأكثر الناس المستهدفين في الاختراقات الأمنية هم 
الأشخاص الذي يقومون بتصفح الإنترنت»حيث يتسبب الاختراق في مشاكل مثل تبطئ حركة التصفح 
وانقطاعه على فترات منتظمةء ويمكن أن يتعذر الدخول إلى البيانات» يمكن اختراق المعلومات الشخصية 
للمستخدم. 
وفي حالة وجود أخطاء برمجة أو إعدادات خاطئةء فمن الممكن أن تسمح بدخول المستخدمين عن بعد غير 


المصرح لهم إلى الوثائق السرية المحتوية على معلومات شخصية أو الحصول على معلومات حول الجهاز 


كما يمكن لهؤلاء الأشخاص تتفيذ أوامر على جهاز الخادم المضيف مما يمكنهم تعديل النظام واطلاق 
هجمات مما يؤدي إلى تعطل الجهاز موقتاًء كما أن الهجمات تستهدف إبطاء أو شل حركة مرور البيانات 
عبر الشبكة؛ إن التجسس على بيانات الشبكة واعتراض المعلومات التي تنتقل بين الخادم والمستعرض يمكن 
أن يصبح أمراً ممكناً إذا تركت الشبكة أو الخوادم مفتوحة ونقاط ضعفها مكشوفة[10]. 


Network Viruses ٽاكڊشll فيروسات‎ 1.5.2 


لقد ارتبط ظهور الفيروسات بانتشار مفهوم الشبكات مثل شبكة الانترنت» حيث استخدام البريد الالكتروني 
ساهم في نشر هذه الفيروسات وخصوصا الرسائل التي تأتي لاحقا ۳8١۲(‏ ١ء‏ ه)اA)‏ ومن أشهر الفيروسات 


ما يلي : 


1.1.5.2دıدjI Worms‏ 
الديدان هي برامج الكمبيوتر التي تكرر نفسها عبر وصلات الشبكة» دون تعديل أو ربط نفسها ببرنامج 
مضيف» يعتبر بعض الخبراء أن الديدان نوع خاص من الفيروسات بدلا من منحها فئة خاصة بهاء إلا أن 
التصنيفات توضح أنها ديدان منفصلة تقليديا عن الفيروسات. ويمكن أيضا أن العديد من المتغيرات الأكثر 
حداثة التي تم وصفها عموما باسم الديدان» وتصنف على أنها فيروسات أو دودة / فيروسات 

هجينة[15[]10]. 


أمثله عن الديدان: 

32//2/: ومغايراتها و هي تنتقل عن طريق ملحقات الإيميل. 

321k 0vesa2N.N0M‏ و هي تنتقل عند استخدام الانترنت عبر وصلات 1٤۴‏ و 0۲لا غير محمية 
الأعراض هي تتضمن أي شيء, من رسائل الإزعاج إلى الملفات المعطوبة [22]. 

إن الدودة المضيفة /0١۳(‏ 51ه!) تستخدم الشبكة لنسخ نفسها فقط على أجهزة الكمبيوتر المتصلة 
بالشبكةء بينما توزع الدودة الشبكية ٥۲) W۷0۲۳(‏ Wه٠)‏ أجزاءها على عدة كمبيوترات وتعتمد على الشبكة 
فيما بعد لتشغيل هذه الأجزاء» ويمكن أن تظهر الدودة على أجهزة حواسيب منفصلةء فتنسخ نفسها إلى أماكن 


متعددة على القرص الصلأب . 


إن الضرر الأساسي التي تتسبب به الدودة هو إيطاء سرعة عمل الشبكات. 


2.1.5.2 حصان طروادة ٣5‏ ھزہ ۲٣‏ 


أحصنة طروادة هي البرامج التي تدعي أنها شيء واحد (تظهر عادة غير ضارة)ء ولكن تنقل حمولة غير 
مرغوب فيها ومدمرة في كثير من الأحيانء تماما مثل الحصان الخشبي الأصلي» وأحصنة طروادة هي 
وسيلة لإيصال أشكال أخرى من البرامج الضارة وغالبا ما تعتمد على قليل من الهندسة الاجتماعية لخداع 
المستخدم في إطلاق هذا البرنامج في الواقع. على الرغم من الاتجاه السائد للمستخدمين تغطية وسائل 
الإعلام و تحذيراتها لا تكفي حيث عند النقر على مرفقات البريد الإلكتروني (وخاصة التنفيذية)» وطروادة لا 
يزال أداة فعالة لنشر البرمجيات الخبيثةء في الماضي والحاضر» واعتبرت برامج حصان طروادة 'خبيثة ' 
لأنها ببساطة أطلقت حمولتها التي كان عليهاء التغيرات الحديتة لطمس هذا التمييز» وتستخدم لإطلاق 
الديدان الهجينة / فيروسات التي يمكن أن تطغى على الشركات بسرعة بسبب أنظمة البريد الإلكتروني[15]. 


أمثله عن أحصنة طروادةء أو التروجانات: 


: JS/NoClose 

والتي تشغل روتين الجافا سكربت لتولد تطبيقات أو صفحات ا1۲۷ لا يستطيع المخدم إغلاقها[22]. 
:Helvis‏ 

و هذا النوع يجمع كل الإيميلات الصادرة و الواردة من إيميل المستخدم الشخصي و يقوم بإرسال هذه 


الإيميلات إلى عنوان الشخص الذي صمم الفيروس[22]. 
2.5.2 البرمجيات الخبيثة ١2ساa×‏ 


كما ذكر سابقاء الفيروسات» والديدان» وأحصنة طروادة ليست هي الشكل الوحيد من أشكال البرمجيات 
الخبيثة. وهناك عدد من المنظمات غير تكرار أشكال البرمجيات الخبيثة التي تهدف إلى تدمير أو سرقة 
البيانات» وتجعل النظم مفتوحة » وتعطل الشبكات» أو خطف الأنظمة البعيدةء وتستخدم العديد من البتات 
من البرامج الضارة مثل الحمولة لبرنامج حصان طروادة» ولكن يمكن أيضا أن توزع يدويا من قبل الأفراد مع 
إمكانية الوصول الفعلي إلى جهاز الكمبيوتر أو الشبكةء أو إدراجها في جهاز كمبيوتر غير محمي الذي 
يعمل مع اتصال إنترنت[15]. 


" الهجمات الإغراقية الموزعة )0008S ۸و٠٣ s(‏ 

الحرمان من الخدمة محاولات تطغى على موارد الشبكة أو النظام من أجل منع المستخدمين من الوصول 
إلى هذه الموارد» من أجل تحقيق هذا الهدف على هدف كبير (مثل موقع التيار)» قراصنة النظم يستعملون 
وسائل لمساعدتهم في هجماتهم عن طريق إرسال برامج حصان طروادة التي تثبيت على جهاز الكمبيوتر 
المصاب» تكمن هذه العوامل نسبيا حتى حصولهم على مزيد من التعليمات من جهاز الكمبيوتر الخاص 
بالهاكر (عادة ما تكون التعليمات البرمجية صغيرة جدا )» ومن ثم تبدأً الفيضانات في الشبكة (أو هدف 


محدد) مع حركة المرور ونقل البيانات[15]. 


" القنابل المنطقية (sئ80"b‏ عءiوما)‏ 

وهذا النوع من البرامج الضارة ينتظر ضغط زر محدد (مثل تاريخ أو تسلسل الأحداث) لإطلاق 
الفيروسات» وكان أسلوب شائع من كتاب الفيروسات لعدة سنوات. للقراصنة والموظفين الساخطين» هو وسيلة 
فعالة لإيصال حمولة مدمرة لفترة طويلة بعد مغادرة وتتظيف المسارات» ودفن برنامج على خادم الشركة في 
التحقق من وجود حساب مستخدم لهء إذا تم حذف حسابه أو تعطيلهء فإنه يتم إطلاق برنامج والبدء في 
حذف الملفات على خوادم الشبكة. لسوء الحظ هذا النوع من القنابل المنطقية عادة ما يكون برنامج مخصص 


أل لضي حن نض أكتشاقت ولاك تة راط براح مكافكة اندر ات15 


" lَlغpl (Mines)‏ 
مثل الألغام العسكرية المادية» ويمكن وضع البرامج الخبيثة على ملقم ملفات أو وضعها على أقراص 
الأبرياء بحيث يتم تركها في الخادم. وعادة ما تكون هذه البرامج المخصصة تكتب وتنشر من قبل الموظفين 
الساخطين أو الهاكر» ويكاد يكون من المستحيل الدفاع ضدها. كما يمكن أن يدفع الفضول لإغراء المستخدم 
أو المسؤول لفتحها. يمكنك الحماية ضد التهديدات القائمة على القرص عن طريق تعطيل التشغيل التلقائي 
لمحرك الأقراص المضغوطة على محطات العمل و الخوادم» فضلا عن القدرة على التمهيد من قرص 

مرن[15]. 


" كلمة السر وlأنصوص (Password Stealers and Keystroke Loggers)‏ 
هناك عدد من برامج الطرف الثالث والتي تمت كتابتها لالتقاط ضربات المفاتيح للمستخدمين» وكتابة 
البيانات إلى السجل ومن ثم إرسال السجل إلى مكان بعيد أو عنوان البريد الإلكتروني. هذه غالبا ما تكون 

صعبة لتحديد مكان الإصابةء وربما لا يمكن الكشف عنها بواسطة برنامج مكافحة الفيروسات. 


ويتم تعبئتها مع بعض البرامج التجريبيةء برامج مجانيةء وأدوات مع برامج إضافيةء ويمكنها مراقبة عادات 
التصفح الخاصة بك» وبيع حتى وقت وحدة المعالجة المركزية غير المستخدمة و المساحة غير المستخدمة 
من القرص إلى الشركات الأخرى التي تستهلك في هذه العملية أيضا موارد الشبكة الخاصة بك» وبطبيعة 
الحال يتم دفن الأدوات القانونية التي تسمح لهؤلاء الباعة للقيام بذلك في اتفاقية ترخيص المستخدم النهائي 


أن لا أحد يقرا ذلك [15]. 


Remote Access Tools (RAT) Jوصولا أدوات‎ " 


المعروف أيضا باسم 'وكلاء مستترين" وهذه الأدوات تعطي المتسللين وسيلة الدخول إلى نظام موثوق به 


موجود على الشبكة. في فئة البرمجيات الخبيثةء ونحن لا نتحدث عن المنتجات الشعبية مثل برنامج 


inkاLap‏ أو برنامج ٣۴١e‏ سAyw٥۴‏ (علی الرغم من آنھا یمکن أن تشکل خطرا على الأمن إذا لم یتم 


[15].stealers 


البرامج غير المرخصة ) (Unlicensed sofware‏ 


إذا كنت تعتقد أن تفشي الفيروس أمر غير مكلف» في البرامج الغير المرخصة. في حين ليس من الناحية 
الفنية 'الخبيثة" لأنها ليست ضارة حسب التصميم» والبرمجيات غير المرخصة أو المقرصنة يمكن أن تكلف 
الشركة 20000 $ لكل حادث إذا تم تدقيقها في أي وقت من الشركةء وقد أفلست بعض الشركات بسببهاء 
حيث يتم تشغيل معظم عمليات مراجعة الحسابات بواسطة مكالمات هاتفية من الموظفين السابقين 


الساخطين» يمكن للشركة أن لا تستطيع تجاهل هذا التهديد» وتكمن في برامج مجانية وبرنامج كومبيوتري 
حيث تحطم أنظمة التشغيل والشبكات مع حركة المرور غير المرغوب فيهاء إلا إذا كنت تؤمن محطات 
العمل الخاصة بالشركة ومراجعتها بانتظام» قد لا تعرف بدا ما يقوم المستخدمين بتثبيته على الشبكة حتى 
فوات الأوان» إنها ليست مجرد البرمجيات التي يمكن أن تكلف الشركةء يمكن أن ملفات ۴3( أو غيرها من 
شكال مواد محفوظة الحقوق التي يتم تخزينها على خوادم يؤدي إلى فرض غرامات صارمة» دفعت شركة 
14 مليون دولار في تسوية خارج المحكمة لاستضافة ملفات 1۴3 على خادم داخلي للموظفين فيهاء 
الفيروسات يمكن لعدد قليل منها أن يسبب هذا القدر من الضرر في حين تبقى أساسا الم يتم كشفها" على 
الشبكة[15] 


: Hackers ركlqll‎ 3.5.2 


الهاكر هو الشخص الذي يقوم بإنشاء وتعديل البرمجيات والعتاد الحاسوبي» وقد أصبح هذا المصطلح ذا 
مغزى سلبي حيث صار يطلق على الشخص الذي يقوم باستغلال النظام من خلال الحصول على دخول 
غير مصرح به للأنظمة والقيام بعمليات غير مرغوب فيها وغير مشروعةء غير أن هذا المصطلح (هاكر) 
يمكن أن يطلق على الشخص الذي يستخدم مهاراته لتطوير برمجيات الكمبيوتر وادارة أنظمة الكمبيوتر وما 
يتعلق بأمن الكمبيوتر . 

الهاكرمهتمّون جدا بأنظمة الحاسوب» مسرات الهاكر تكمن في كسب فهم عميق عن طرق العمل الداخلي 
لشبكات الحاسوب وأنظمة الحاسوب بشكل خاص» الهاكر غير مؤذون عادة» بالرغم من أن العديد من الناس 


في أوقات يستعملون كلمة 'الهاكر" للتعبير للإشارة إلى أن كلاهما جيد وسيئ (خبيث)[8]. 
4.5.2 لصوص |الqوية :piracy identity‏ 


يستخدم للتعبير عن سرقة الهوية» وهو عمل إجرامي» حيث يقوم شخص أو شركة بالتحايل والغش من 
E N Ê E E O AA E E Gs Ê‏ 
المعلومات الشخصية مثل تفاصيل الحسابات البنكية وكلمات المرور وتفاصيل البطاقة الائتمانية. وتستخدم 


المعلومات للدخول إلى الحسابات البنكية عبر الإنترنت والدخول إلى مواقع الشركات التي تطلب البيانات 
الشخصية للدخول إلى الموقع» هناك برامج لمكافحة السرقة والكشف عن هوية المرسل الحقيقي» وأفضل 
وسيلة لحماية الشخص من نشر معلوماته الشخصية لمن يطلبها هو أن يكون الشخص متيقظاً وحذراً ولديه 
الوعي الكافي» فلا يوجد هناك أي بنك معروفا و مؤسسة فعلية يطلبون من عملائهم إرسال معلوماتهم 
الشخصية عبر البريد الإلكتروني[10]. 


2.الطرق المختلفة لحماية المعلومات داخل الشبكات 


1.6.2 .التشفير أو التعميڈcryptography‏ 


غرف علم التشفير أو التعمية منذ القدم» حيث استخدم في المجال الحربي والعسكري» فقد ذكر أن أول من 
قام بعملية التشفير للتراسل بين قطاعات الجيش هم الفراعنةء وكذلك ذكر أن العرب لهم محاولات قديمة في 
مجال التشفيرء و استخدم الصينيون طرق عديدة في علم التشفير والتعمية لنقل الرسائل أثناء الحروب» فقد 
كان قصدهم من استخدام التشفير هو إخفاء الشكل الحقيقي للرسائل حتى لو سقطت في يد العدو فإنه 
تصعب عليه فهمهاء وأفضل طريقة استخدمت في القدم هي طريقة القصير جوليوس وهو أحد قياصرة الروم» 
أما في عصرنا الحالي فقد باتت الحاجة ملحة لاستخدام هذا العلم "التشفير" وذلك لارتباط العالم ببعضه عبر 
شبكات مفتوحة» وحيث يتم استخدام هذه الشبكات في نقل المعلومات إلكترونياً سواءَ بين الأشخاص العاديين 
أو بين المنظمات الخاصة والعامة» عسكرية كانت أم مدنية. فلابد من طرق تحفظ سرية المعلومات» فقد 
بذلت الجهود الكبيرة من جميع أنحاء العالم لإيجاد الطرق المثلى التي يمكن من خلالها تبادل البيانات مع 
عدم إمكانية كشف هذه البيانات» ومازال العمل والبحث في مجال علم التشفير مستمراً وذلك بسبب التطور 


السريع للكمبيوتر والنمو الكبير للشبكات وبخاصة الشبكة العالمية الإنترنت. 


6.2... ما هو التشفير أو التعمية (cryptography)‏ 


التشفير هو العلم الذي يستخدم الرياضيات للتشفير وفك تشفير البيانات» التشفير يُمكئك من تخزين 
المعلومات الحساسة أو نقلها عبر الشبكات غير الآمنة مثل الإنترنت وعليه لا يمكن قراءتها من قبل أي 
شخص ما عدا الشخص المرسل له» وحيث أن التشفير هو العلم المستخدم لحفظ أمن وسرية المعلومات» فإن 
تحليل وفك التشفير (كائراة٣ة‏ مأملا٣)‏ هو علم لكسر و خرق الاتصالات الآمنة[14]. 


2...2.أهداف التشفير : 

يوجد أربعة أهداف رئيسية وراء استخدام علم التشفير وهي كالتالي: 

السرية أو اlخصyص:‏ ) Confidentiality‏ ( 

هي خدمة تستخدم لحفظ محتوى المعلومات من جميع الأشخاص ما عدا الذي قد صرح لهم الإطلاع عليها . 
تكlمJ‏ llبlıنlت:‏ ) (Integrity‏ 

وهي خدمة تستخدم لحفظ المعلومات من التغيير ( حذف أو إضافة أو تعديل ) من قبل الأشخاص الغير 
مصرح لهم بذلك. 

( Authentication ) :aيوll إنبات‎ 

وهي خدمة تستخدم لإثبات هوية التعامل مع البيانات ( المصرح لهم) 

( Non-repudiation ):دgsجll عدم‎ 

وهي خدمة تستخدم لمنع الشخص من إنكاره القيام بعمل ما[6]. 


إذاً الهدف الأساسي من التشفير هو توفير هذه الخدمات للأشخاص ليتم الحفاظ على أمن معلوماتهم 


2...كيفية عمل التشفير: 


خوارزمية التشفير هي دالة رياضية تستخدم في عملية التشفير وفك التشفير» وهي تعمل بالاتحاد مع 
المفتاح أو كلمة السر أو الرقم أو العبارةء لتشفير النصوص المقروءة» نفس النص المقروء يشفر إلى نصوص 
مشفرة مختلفة مع مفاتيح مختلفةء والأمن في البيانات المشفرة يعتمد على أمرين مهمين قوة خوارزمية التشفير 


وسرية المفتاح. فیما بلي رسم توضيحي صورة )1.2( 


Key Hey 


Plaintext >| Eneryption Liphertexl | Been Plaintexl = 


صورة(1.2) : طريقة عمل التشفير 


4...2 .أنواع التشفير: 

حالياً يوجد نوعان من التشفير وهما كالتالي: 
التشفير التقليدي ) a6NYثCryptog Conventional‏ ( 
تشفير المفتاح llعlم‏ ) Public Key Cryptography‏ ( 
1.4.,...2.التشفير التقليدي : 


یسم اا التشفیر المتمائل ny 5y" "€1 ٤(‏ مraوoامyاC)‏ وهو یستخدم مفتاح ل لعملية التشفير 
يملك المفتاح بإمكانه فك التشفير وقراءة محتوى الرسائل أو الملفات. 


بعض الأمثلة على أذ نظمة التشفير التقليدي: 


شفرة قيصر: وهي طريقة قديمة ابتكرها القيصر جوليوس لعمل الرسائل المشفرة بين قطاعات الجيش وقد 
أثبتت فاعليتها في عصره. ولكن في عصرنا الحديث ومع تطور الكمبيوتر لا يمكن استخدام هذه الطريقة 
رر کی و ےک ا کی و ر ا 
Ea EN AEE ED E ES SECRET uk‏ 
وهو الحرف "0" وعليه فان ترتيب الحروف سوف يكون على الشكل التالي: 
ABCDEFGHIJKLMNOPQRSTUV WX Y Z‏ 
E O E E E EEN EE‏ 
DEF GHIJKLMNOPQRSTUVWXYZABC‏ 
ال فة Gr: E & C&C <: E D A ٢‏ 
بهذا الشكل فان كلمة S0۸٤‏ سوف تكون "۷1۴1١۷"‏ لتعطي أي شخص آخر إمكانية قراءة 


رسالتك المشفرة؛ يجب أن ترسل له قيمة المفتاح "3". 


تشفير البيانات القياسي( :)0٤5‏ طور هذا النظام في نهاية السبعينيات من قبل وكالة الأمن القومي 
الأمريكيةء وهذا النظام بات من الجدوى عدم استخدامه مع تطور أنظمة الكمبيوتر وزيادة سرعة معالجته 


للبیانات» حیث أنه قد يتم كشف محتوى رسائل مشفرة به في وقت قصير [14]. 


> DES = DES DES 
(Enorypt) (Decrypt {Enêrypt} 


Plaintaxî K1 k2 H3 Cipherlaxl 
ر‎ ١ االو‎ 


. 1 DES a! 
(Deerypt) 


DES DES 


{Enerypt] 


2.4..2.تشفير بالمفتاح العام: 


أو ما يعرف بالتشفير اللامتمائل (ء Asye‏ hyمCryptograp):‏ تم تطویر هذا النظام في 
السبعينات في بريطانيا وكان استخدامه حكراً على قطاعات معينة من الحكومة. ويعتمد في مبدأه على وجود 
مفتاحين وهما المفتاح العام k۷‏ عااطنا۴ والمفتاح الخاص۷ء ا۴۲۷6 » حيث أن المفتاح العام هو لتشفير 


الرسائل والمفتاح الخاص لفك تشفير الرسائل .المفتاح العام يرسل لجميع الناس أما المفتاح الخاص فيحتفظ 
به صاحبه ولا يرسله لأحد. فمن يحتاج أن يرسل لك رسالة مشفرة فإنه يستخدم المفتاح العام لتشفيرها ومن ثم 


تقوم باستقبالها وفك تشغيرها بمفتاحك الخاص. فيما يلي رسم توضيحي صورة (3.2) . 


Encryption Decryption 
ا ا‎ 
Crear li: Cear# li: 
| have ٣ 1 | hame 
rewired 2 2 rewired 
the ner... the ner... 
rigin al Publis Scrambled Private rigin al 
data ley data lay data 


صورة(3.2): توضح عمل التشفير باستخدام المفتاح العام والمفتاح الخاص 


بعض الأمثلة على أنظمة تشفير المفتاح العام: 
RSA. DSA.PGP‏ 


جميع هذه الأنظمة تعتمد على مبداً التشفير اللاتماثلي أو التشفير باستخدام المفتاح العام والمفتاح الخاص. 


مزايا وعيوب التشفير التقليدي والتشفير باستخدام المفتاح العام: 


التشفير التقليدي أسرع بكثير باستخدام أنظمة الكمبيوتر الحديثةء ولكنه يستخدم مفتاح واحد فقط» فهو 
عرضة أكثر للاختراقات» أما تشفير المفتاح العام فيستخدم مفتاحين في عملية التشفير وفك التشفير» وهو 
قوی وأقل عرضه ةَ للاختراقات› ولکنه أبطاً من التشفير التقليدي»ونتيجة هذه المزايا والعيوب أصبحت الأنظمة 


الحديثة تستخدم كلا الطريقتين حيث أنها تستخدم الطريقة التقليدية للتشفير وأما تبادل المفتاح السري الواحد 


بين الأطراف المتراسلة تتم من خلال استخدام طريقة تشفير المفتاح العام[14]. 


قياس قوة التشفير : 
التشفير قد يكون قوياً أو ضعيفاًء حيث أن مقياس القوة للتشفير هو الوقت والمصادر المتطلبة لعملية كشف 


النصوص غير مشفرة من النصوص المشفرة. نتيجة التشفير القوي هو نص مشفر يصعب كشفه مع الوقت 


أو توفر الأدوات اللازمة لذلك. 


Digital Certification يnقرئlا‎ 5 2.6.2.الشھاد‎ 

تعريف الشهادة الرقمية : 

"هي وثيقة رقمية تحتوي على مجموعة من المعلومات التي تقود إلى التحقق من هوية الشخص أو المنظمة 
أو الموقع الإلكتروني و تشفر المعلومات التي يحويها جهاز الخادم ( ٣۷۴اهء)‏ [10]. 


2.... مفاهيم أساسية: 
الفاح الخاصن 
مسؤولية صاحبه المحافظة على سريته. 


المفتاح العام. 
هی اlتıigق :(Certification Authority)‏ 


هي الجهة التي تقوم بإصدار الشهادة الرقمية والتوقيع عليهاء قبل أن تقوم الهيئة بالتوقيع على الشهادة 
تتأكد من هوية الشخص (صاحب الشهادة) وتتم عملية التأكد من الهوية على حسب استخدامات الشهادة 
الرقمية فإذا كانت ستستخدم لحماية البريد الإلكتروني فيتم التأكد من هويته بعنوان البريد الإلكتروني فقط أما 


ا كانتا لاستددامات حساسة عة :ارال الم كبيرة من المال عن طريق رنت فمذه تتظلب خخترز 
الشخص (صاحب الشهادة) إلى هيئة التوثيق للتأكد من هويته وتوقيع الشهادة. وكذلك من خلال هيئة التوثيق 
يستطيع الشخص أن يجدد شهادته المنتهيةء ومن الهيئات 00۵0ء و ١9اكل۷6۲‏ و أ۷ وهي مواقع 
موجودة على الانترنت .[10] 

:(Registration Authority) Jıجصتlا‎ ةÛık‎ 


هي هيئات تساعد هيئة التوثيق وتخفف الضغط عنها في عمل بعض الوظائف متل التحقق من الهوية 
واصدار التوقيع الإلكتروني. 


مخزن الشھادات llئرقnي :(Certificate Repository)‏ 
هو دليل عام متاح للكل تخزن فيه الشهادات الملغاة والفعالة بحيث يستفيد الأشخاص من هذا الدليل للبحث 
عن المفتاح العام للشخص المراد التعامل معه سواء لتشفير الرسائل المرسلة له بمفتاحه العام لضمان السرية 
أو لفك التوقيع للتأكد من هوية المرسل. 
أهم المعلومات الموجودة في الشهادة الرقمية: 
٠‏ الرقم التسلسلي: وهو الذي يميز الشهادة عن غيرها من الشهادات. 
٠‏ خوارزمية التوقيع: الخوارزمية المستخدمة لإنشاء التوقيع الالكتروني. 
٠ه‏ صالحة - من: تاريخ بداية صلاحية الشهادة. 
٠‏ صالحة - إلى: تاريخ نهاية صلاحية الشهادة. 
٠‏ المفتاح العام: المفتاح العام المستخدم لتشفير الرسائل المرسلة إلى صاحب الشهادة. 
ه٠‏ مصدر الشهادة: الجهة التي أصدرت الشهادة. 


٠‏ أسم مالك الشهادة: سواء كان شخص أو منظمة أو موقع الكتروني 


2...2 أنواع الشهادات الرقمية: 

* شهادات هيئة التوثيق: 

هذا النوع من الشهادات يصدر من هيئة التوثيق مباشرة وعادة ما يكون لحماية البريد الإلكتروني. 
٠ه‏ شهادات الخادم: 


هذا النوع من الشهادات يصدر من خادم الشبكة (۲ه۷هء اهس) أو خادم البريد (۲۷#۲هء اأة") 


للتأكد من أمان إرسال واستقبال البيانات. 
٠‏ شهادات ناشر البرامج: 


تستخدم للتأكد من أن البرامج الخاصة بناشر معين برامج آمنه. 
معيار الشهادة الرقمية (509.>): 


هو معيار عالمي أصدره اتحاد الاتصالات الدولي (ل1۳1) لتوحيد شكل وبنية (أ١۳١0])‏ الشهادة الرقمية. 


أكثر الشهادات الرقمية حاليا تتبع هذا المعيار . 
الفرق بين التوقيع الرقمي والشهادة الرقمية: 


في التوقيع الرقمي لا يوجد ضمان أن المفتاح العام هو لهذا الشخص بالفعل مثلا يستطيع شخص أن 
ینشئ له مفتاحین عام وخاص تم ينشر مفتاحه العام على أساس أنه شخص آخر فلو أراد شخص أن يرسل 
رسالة سريه لأحد سوف يشفرها باستخدام المفتاح العام الذي نشره الشخص الآخر وبالتالي سوف يستطيع 
الشخص الآخر فك تشفير الرسالة والإطلاع عليهاء أي أنه في التوقيع الرقمي لا يوجد ربط بين الشخص 
بالفعل ومفتاحه العام لذلك ظهرت الشهادة الرقمية والتي تربط بين الشخص ومفتاحه العام حيث تحتوي 


الشهادة على صاحب الشهادة ومفتاحه العام وموقعه من طرف موثوق فيه يثبت ذلك . 
الشهادة الرقمية للتحقق من ال4وية :Authentication‏ 


لنفرض آن أحد يريد أن يرسل رسالة لآخر لكي يثبت بأن المرسل هو بالفعل» فانه سوف يوقع المختصر 
الحسابي (5ه"١)‏ بالمفتاح الخاص فيه ويرسل الرسالة الأصلية والمختصر الحسابي المشفر في الطرف 
الآخر يقوم بفك تشفير المختصر الحسابي باستخدام المفتاح العام للمرسل الموجود في شهادته الرقمية 
والمتاحة كما ذكر مسبقا على دليل عام (مخزن الشهادات الرقمية) ثم يقوم بإجراء نفس المختصر الحسابي 
الذي أجراه على الرسالة بعد ذلك يقارن المختصرين الحسابيين إذا تطابقا فهذا يعني انه بالفعل المرسلء 


ويهذا ضمنت الشهادة الرقمية التحقق من الهويةء وتسمى العملية السابقة بالتوقيع الإلكتروني. 


الشهادة الرقمية لضمان السرية: (Confidentiality)‏ 


لنفرض أن أحد يريد أن يرسل رسالة سريه فلكي يضمن سريتها سوف يقوم بتشفير الرسالة بالمفتاح العام 
للطرف الأخر ولن يفك التشفير إلا بالمفتاح الخاص له (حيث أن المفتاح العام والخاص مربوطان ببعضها 
أي انه إذا شفرت رسالة بالمفتاح العام لشخص فانه لا يفك تشفير هذه الرسالة إلا بالمفتاح الخاص لنفس 
الشخص) وبهذا ضمنت السرية. 


إدارة الشهادات الرقمية: 


يستطیع الشخص أن يختار هيئة التوثيق )C۸(‏ التي يريد إصدار شهادته منها وبعد إصدار الشهادة يمكنه 
کنو تخر ااا ر فاح اا ر ااام ع کر با ت ن ر كا 


تأتي مع متصفح الانترنت في وقت ننزيله ويكون موثوق فيها 


6.2... سياسة الشهادة ائرقnي)Policy :)Certificate‏ 

هي مجموعة من القواعد والسياسات الإدارية والتي تطبق عند إدارة الشهادة الرقمية في جميع مراحل 
حیاتها. 
دورة حياة الشهادات الرقمية: 

هناك بعض الأحداث التي تؤثر على فعالية الشهادة الرقمية مثل إضافة جهاز )4۲۵0W4۲۴(‏ جديد 
على الكمبيوتر أو تحديث برنامج وغيره لذلك أصبح للشهادة الرقمية حالات تمر فيها منذ إصدارها. 


2 الإصدار: 


وهي أول مرحلة وتشمل التأكد من هوية الشخص قبل الإصدار» ويعتمد التأكد على نوع الشهادة المصدرة 
ففي الشهادات الرقمية التي تصدر للبريد الالكتروني يتم التأكد من هوية الشخص بطلب إرسال رسالة من 
بريده الالكتروني فقط أما الشهادات الرقمية المستخدمة للعمليات المالية فتتطلب إجراءات أخرى للتأكد من 


ر اك ن افو بن اران الطتب هة اترى رافق اجى :إضدار اشا 


٠‏ الإلغاء: 
يستطيع الشخص أن يلغي شهادته قبل تاريخ انتهائها عندما يفقد المفتاح الخاص بالشهادة أو ينتشر لأنه 
بعد انتشار المفتاح الخاص تبطل فعالية الشهادة وهي الثقة بالطرف الآخر »(١٥0اهءا 6١‏ ٣ااA)‏ ويتم إضافة 


الشهادة الملغاة إلى قائمة الشهادات الملغاة. 
* الانتهاء: 


لكل شهادة تاريخ انتهاء بعد هذا التاريخ تصبح الشهادة غير صالحه للاستخدام ولابد من إصدار شهادة 
جديدة ويمكن أن تكون الشهادة الجديدة لها نفس المفتاح العام والخاص للشهادة المنتهية. 


٠‏ التعطيل المؤقت: 


يمكن للشخص أن يوقف أو يعطل استخدام الشهادة لفترة زمنية لا يحتاج فيها لاستخدام الشهادة حتى لا 
تستغل من قبل أشخاص آخرين][10]. 

وتقوم العديد من الجهات (إااأuthorںA‏ rtificteم)‏ بتوليد ومنح الشهادات الرقمية مثل 
gn .c0m‏ risiصV.»‏ ومنها ما هو مجاني وغیر مجاني» ونقوم جھات أخرى ڊدور Registrai0¬‏ 
Author‏ وهو تسجيل وتوثيق الشهادات والتأكد من هوية أصحابها. 

ليس من الصعب كما قد يبدو للوهلة الأولى الحصول على تلك الشهادات» فيمكن توليد تلك الشهادات من 
مخدم (۷€۲ 5€ Windows‏ اMicrosof)‏ ولكن مصداقية وموتوقية الشهادة مكافئة لمصداقية وموثوقية 
لهه المانكة مد ماد تة ين شركة ماكر و فت تمق ك اة اة ما لو قت 
بتوليد شهادة من مخدم محلي على النطاق› (ا2ه!ا. )My compan Ddon a‏ فإن مصداقیتها محدودة 


بمن يثق في هذا النطاق. 


electronic sig atu r التوقيع الالكترونيء‎ ..6.2 


في الآونة الأخيرة دعت الحاجة لاستخدام التقنية في شتى المجالات بسبب انتشار استخدام الانترنت› 
فلا يكاد يخلو بيت أو شركة أو بنك أو جهة حكومية من حاسب آلي» فهو يوفر الوقت والجهد فعن طريق 
الانترنت يتم تبادل الوثائق والملفات و من خلاله أخذت المستندات الورقية في التراجع شيئاً فشيئًاًء لذلك دعت 
الحاجة لتشفير البيانات بشتى الطرق» لتوفير الأمان للملفات وللمستخدمين من العبث والتزوير وللتأكد أيضا 
من صحة هذه البيانات فظهر ما يعرف بالتوقيع الالكتروني الذي يضمن للمستقبل والمرسل صحة ومصداقية 


وخصوصية هذه البيانات. 
6.2....ما هو التوقيع الالكتروني electronic signature‏ 


هو عبارة عن عملية تشفير مكون من بعض الحروف والرموز والأرقام الإلكترونية» تصدر عن إحدى 
E a a‏ 


تعمل على توثيق الملفات بشتى أنواعها والتي تتم عبر الإنترنت» فيتم من خلالها ربط هوية الموقع بالوثيقة 
وبحيث يمكن لمستلم الوثيقة التحقق من صحة التوقيع» وأيضا من السهل لكل شخص الحصول على هذا 
التوقيع من الجهات المختصة لإصدار الشهادات» فيستخدم هذا التوقيع لإغراض عدة منها أغراض الشخصية 
و سياسيه أو تجاريه» وغيرها من المجالات الأخرى» فقد اهتمت معظمدول العالم بالتوقيع الالكتروني 
وأصدرت نظام التعاملات الالكترونية مما دعم استخدام التوقيع الالكتروني في التعاملات الالكترونيةء أيضا 
أصدرت نظام أخر يخص بالجرائم المعلوماتية للحد من التزوير والغش وانتحال الشخصية [14]. 
2..كيفية عمل التوقيع الالكتروني : 

لعمل التوقيع الالكتروني لابد من التقدم إلى إحدى الجهات المختصة بإصدار الشهادات حتى يتم إصدار 
الشهادة للمستخدم» ويكون معها مفتاحين احدهما عام والأخر خاص» فعندما يرسل هذا المستخدم المالك 
لشهادة رسالة سوف يتم تشفيرها بالمفتاح الخاص به أو المفتاح العام التابع للمستقبل» بحيث تتحول هذه 


الرسالة إلى رموز لا يمكن فهمها ويتم إرفاق معها توقيع المرسل. 


عند إذن يقوم المستقبل بإرسال نسخه من التوقيع الالكتروني إلى الجهة المختصة بإصدار الشهادةء لتأكد من 
صحة التوقيع ومن ثم تقوم أجهزة الكمبيوتر التابعة للجهة المختصة بالتحقق من صحة التوقيع وتعاد النتيجة 
للمستقبل مرة أخرى» ليتأكد من صحة وسلامة الرسالةء فيقوم المستقبل بقراءة الرسالة وذلك باستخدام مفتاحه 
الخاص إذا كان التشفير قد تم على أساس رقمه العام أو بواسطة الرقم العام للمرسل إذا تم التشفير بواسطة 
الرقم الخاص للمرسل»ء ومن تم يجيب على المرسل باستخدام نفس الطريقة وهكذا تتكرر العملية» ويستخدم 
أيضا مع التوقيع الالكتروني عملية الهاش التي توفر اقل تكلفه من تشفير الرسالة بحيث تقوم بإنشاء قيمة 
رقمية معينة تكون اصغر من الرسالة بحيث تضمن الرسالة من أي تغيير يتم عليها بحيث عندما يستقبل 
المستخدم الرسالة والهاش يقوم بعملية الهاش مرة أخرى على الرسالة ومن ثم يقارن الهاش الذي استقبله 
بالهاش بالذي عمله إذا كانت متساوية فيدل على سلامة البيانات من التحريف والتزوير وإذا اختلفت دل 
على تزويرها [14] كما في الشكل ( 4.2 ). 
الية عمل التوقيع الإليكتروني 
المرسل 


اتعطناع اتطاعى [تلمرعل)] 
Sander Frivats Key‏ 
carflficate‏ 


الزسالة 


۰ ببست وة سر انترقي الاليڪتروني 
اتمقتاح العام ([لتتحقق من المفتاح الخاضب) اتر وتي BASES‏ 


شكل ( 4.2 ) : يوضح آلية عمل التوقيع الالكتروني . 


3.2 .أنواع التوقيعات الالكترونية: 


يوجد نوعين شائعين احدهما التوقيع المشفر الذي تحدتنا عنه»ء التي يقوم المرسل بإرسال الوثيقة مشفره 
معها توقيعه المكون من معلوماته. أما النوع الآخر ما يعرف بالتوقيع البيومتري» الذي يتم تحديده عن طريق 
تحريك يد الموقع أثناء التوقيع» بحيث يتم توصيل قلم إلكتروني بجهاز الكمبيوتر» ويقوم الموقع بالتوقيع 
باستخدام هذا القلم الذي يسجل حركات يد المستخدم أثناء التوقيع » حيث إن لكل شخص سلوكا معينا أثناء 


التوقيع [14] كما في الشكل. 


2.. أهمية التوقيع الالكتروني: 


فالغرض منه لتصديق أن الرسالة لم يتم تغييرهاء وتوفر الضمان والتأكد بأنه لم يتم أجراء أي تعديل على 


الرسالة لأنه من الصعب تزويره والعبث به» فهو أيضا يوفر 4 خواص وهي: 


1- الخصوصية: بحيث يمنع أي مستخدم غير شرعي من تعديل أي إجراء على البيانات. 

2 التحقق من هوية المرسل: ومصادر البيات عن طريق جهة الشهادات التصديق الالكترونية المرخص لها 
دولیا. 

3- التحقق من هوية المستخدم: لوحدة البيانات من تعويضه من بيانات أخرى باستخدام تقنيه تشفير 


N a 


4- خاصية عدم الإنكار: عدم قدرة المرسل من الإنكار لوجود الطرف الثالث 'جهة تصديق معينه" وعدم 
قدرة المستقبل أيضا بالإنكار من استقبال الرسالة بحيث تكون هذه الجهة وسيطة بين المرسل والمستقبل 
بحيث كلما أراد المرسل أن يرسل رسالة لابد أن تمر على هذه الجهة المختصة»ء وكذالك كلما استقبل 
المستقبل الرسالة [14]. 


الف ل الثالث 


أمن طبقة التطبيقات 


الفصل الثالث: الاختراقات وطرق تأمين طبقة التطبيقات 


3.,.امن طبقة التطبيقات 


+ 


مقدمة 


كما ذكرنا سابقا (في الفصل الأول) فان طبقة التطبيقات ١٥رها‏ ١٠0اةءأامم۸A‏ هي الطبقة العليا في 
نموذج وصل الأنظمة المفتوحة ا05. وهذه الطبقة توفر خدمات الشبكة للمستفيد النهائي وهي تستفيد من 
الطبقات التي تحتها ولكنها معزولة تماما عن تفاصيل المعدات والأجهزة. وتتعامل هذه الطبقة مع البيانات 
المرسلة إلى والواردة من الطبقة السادسة بالنموذج» وهي طبقة التمثيل ١۴٥۷ه|ا‏ ۸٥آاة†‏ مم٣۴‏ » حيث تحدد 


التطبيقات مثل خدمة انتقال الملفات» والبريد الإلكتروني» وادارة قواعد البيانات» وبرامج محاكاة الطرفيات 
emulation‏ اrminaهt»‏ وأي خدمات تقدمها برامج الشبكةء وخدمات الشبكة في هذه الطبقة تكون عادة 
بروتوکولات تتعامل مع بیانات المستفید والتطبیقات 1۲۲۴ء M۴۰۲ ٥٣٥٤‏ ۴۲۴ هي تطبیقات توجد 
في هذه الطبقةء فمثلاء في حالة التطبيق المتعلق بمتصفح الويب ۲٥ء۷٠5۲‏ ٥۷ء‏ فإن بروتوكول طبقة 
التطفات ١۳۳‏ بت انات الفطارة لأرسان واششال ميات ضفحة W665:‏ 131121 


.page 
3,البروتوكولات التي تعمل في طبقة التطبيقات:‎ 
( HTTP) Hyper Text Transfer Protocol .1.2.3 


وهو الطريقة الرئيسة والأكثر انتشاراً لنقل البيانات في الويب(۷۷۷) الهدف الأساسي من بنائه كان 
إيجاد طريقة لنشر واستقبال صفحات ا١‏ 1۲. 


۶ هو نظام نقل مواد الإنترنت عبر الشبكة العنكبوتية الويب» وهو من الطبقة الخامسة لنظام 
۴/۴ وهي طبقة التطبيقات ويستخدم من قبل متصفحات الإنترنت والتي تسمى عميل المستخدم-56۲لا 


1 رويستخدم المدخل رقم 80 على المخدم غالبا بالتعاون مع الطبقة الرابعة وبالتحديد مع ميثاق 


ا 6ن ر اه و ا و ر کل 16 1 الت من 


: الآمن‎ 1P 


حاليا هناك طریقتان لإنشاء اتصال 1۲۲۴ آمن : مخطط 1لا 1۲۲۴5 ورأس ترقية1.1 1۲۲۲۴ » الذي 
قدم بواسطة 2817 ۸۴٥‏ دعم المتصفح لرأس الترقيةء یکاد یکون غير موجود» وبالتالي مخطط 1۲۲۲5 
R۱‏ لا یزال الأسلوب المھیمن لإنشاء اتصال 1۲۳۴ آمن 1۲۲۴ .الآمن یبدا ب۲۳۴٣‏ :// بدلا من 
HTTP‏ :// 


. . I 1 
(ps )oentelhalal maltoob.com/ylogin.php?Lang=Ar maktoob.com #&! ار‎ - 


HTTPS URI مخطط‎ 


5 هو مخطط 81٩لا‏ مطابق في بنائه لمخطط 1۲۲۴۶ الذي يستخدم في اتصالات 1۲۲۴ المعتادة 
لكنه يشير للمتصفح باستخدام طبقة تشفير إضافية من 551/١15‏ لحماية حركة المرور ا5 . ملائمة 
بصفة خاصة 1١۲۴‏ لأن بإمكانها أن توفر بعض الحماية حتى إذا كان جانب واحد فقط من الاتصال 
موتقاًء هذا هو الحال مع معاملات 1۲۲۴ عبر الإنترنت» حيث يكون الخادم فقط موتقاً عن طريق فحص 
العميل لشهادة الخادم. 


رأس ترقية1.1 1۲۲۴۲ 


1 1۳۳۴ قدم الدعم لرأس الترقية. في عملية التبادلء يبدأ العميل بتقديم طلب واضح النص» الذي يتم في 
وقت لاحق رفع مستواه ۲15 قد يطلب العميل أو الخادم رفع مستوى الاتصال. تقديم طلب واضح النص من 
قبل العميل يليه طلب الخادم رفع مستوى الاتصال هو الأستخدام الأكثر شيوعاء ويبدو كما يلي: 


العميل: 


GET /encrypted-area HTTP/1.1 


Host: www.example. com 
الخادم:‎ 
HTTP/1.1 426 Upgrade Required 


Upgrade: TLS/1.0, HTTP/1.1 


Connection: Upgrade 


قام الخادم بإرجاع رمز الحالة 426 لأن مستوى الرموز 400 يشير إلى فشل العميل» ويعمل على تنبيه 
الفلا اناقل كان :5ا 


فوائد استخدام هذا الأسلوب لإنشاء اتصال آمن: 


1. أنه يزيل الفوضى وإشكالية إعادة التوجيه وإعادة كتابة العنوان من جهة الخادم. 

2. أنه يسمح بالاستضافة العملية للمواقع المضمونة على الرغم من أن 1۲۲۴58 يسمح بهذا وذلك باستخدام 
دلالة اسم الخادم. 

3. أنه يقلل من إرباك المستخدم من خلال توفير وسيلة وحيدة للوصول إلى مورد معين. 

نقطة الضعف في هذه الطريقة هي أن الحاجة إلى 1۲۲۶ آمن لا يمكن تحديدها في الا في الممارسة 

العمليةء الخادم (الغير موثوق به) سيكون المسؤول عن تمكين 1۲۲۴ الآمن»ء وليس العميل الموتوق[14]. 


حیث 1۲۳۶۴:يؤمن تصفح صفحات الويب عن طريق تأمين تناقل المعطيات بين مخدم الويب 


.web 6]0WS€۲ ومتصفح الويب‎ ۶ 


(FTP) File Transfer Protocol.2.2.3 


یعتبر بروتوکول نقل الملفات ۴۲۴ أحد المواثيق التي تنضم لحزمه مواٹيق P°آ‏ yÎو Transmissi0¬‏ 
sاProtoco‏ اtr0اC0n‏ في النقل وهي تتميز بالأمان في نقل البيانات والتأكد من عدم فقدان البيانات خلال 
النقل. 


یتمیز بروتوکول ۴۲۴ باستخدام منفذ 0۲۲20 » المنفذ الأول رقمه 21 وهو مسئول عن نقل الأوامر بينما 


يستخدم المنفذ رقم 20 من اجل نقل البيانات. 


أھداف ۴۲۴ 
إن أهداف ۴۶ كما هو ملخْص من قبل 8۸۴٣٥‏ الخاص به» هي: 


1. ترويج اشتراك الملفات (برامج الحاسوب أو البيانات). 

2. تشجيع الاستعمال غير المباشر أو الضمني للحواسيب البعيدة. 

3. حماية المستخدم من الاختلافات في أنظمة تخزين الملف بين المضيفين المختلفين. 
4. تحويل البيانات بشكل موتوق وكفؤً[16]. 

حيث يمكن أن نقول أن وظيفته في طبقة التطبيقات تأمين تناقل الملفات عبر الشبكة . 


(SMTP) Simple Mail Transfer Protocol .3.2.3 


البروتوکول 8%7۲ : 


يعد بروتوکول نقل الرسائل البسيط |اە0cغPro Simple Mail Transfer‏ أو SMTP‏ اختصاراً 


البروتوكول المعياري لنقل الرسالة من الزبون إلى المخدم بشكل موثوق وفعال . 


تم توصيف هذا البروتوكول لأول مرة عام 1980 وتم اقتراح عدة تعدیلات عليه حتی تم اعتمادہ بشکل 
رسمي كبروتوكول قياسي لنقل الرسائل على الشبكة , وتم توصيفه عام 1981 تحت العنوان 821 R۴٥‏ 


يتصل برنامج قارئ البريد بمخدم الرسائل الصادرة M1۴ S6۷۴۴‏ مستخدماً المنفذ 25 . 


ب زاء تخاطب بين لرن بكر فة لون الم امات اناذرة للارسان مش توان الرسل 
والمستقبل [9]. 


تبداً عملية الإرسال بأن يطلب المرسل ۲٥ل١ه5 M۴‏ فتح رابطة ثنائية مع المخدمه SM1۶؟‏ 
R٣‏ ومن ثم يولد الزبون عدة أوامر ويرسلها إلى المخدم من أجل تعريف نفسه ويجيب المخدم 


على كل آمر برسالة أخرى يرسلها الزبون » وعندما تتم الموافقة على فتح الرابطة بين الطرفين يتم تبادل 
الأوامر والمعطيات بينهماء ومن ثم يتم إنهاء الاتصال بينهماء كما في الشكل التالي 


4 0 + سسس تسسا 
I | 1 1‏ 4 سس سس 
User |<-->| | SHTP 1 1‏ | 
Sendêer- |Conmmands/Replies] Receiver-|‏ | + 
SHTP | da >= SMTP | + +‏ | + ا 
File |<-->| 1 and Mail 1 |<-->| File |‏ | 
Syateml 1 1 | 1 I Sy¥steml‏ | 
+ + س س o‏ + - === +-—=--=4 
Sender-SNHTP Receiver-SNTP‏ 


Model for SNTP Use 


: SMTP(SMTP Model) igi 


عندما يعلن المستخدم عن رغبته في إرسال رسالة» فإِن قارئ البرید أو (۴۲ل" 8M۲۲ S6‏ مثلاً برنامج 0u‏ 
)0ا يقوم بالاتصال بمخدم الرسائل الصادرة أو ۷8۲أمءهR‏ 5(۴ وهذا المخدم هو عبارة عن حاسب 


يحوي على البرمجيات المناسبة لخدمة البريد الإلكتروني» مثلاً 86۷۴۲ مو٣‏ 2ء×ع» ويهذا 
يؤمن تراسل البريد الإلكتروني عبر الشبكة . 
Telnet.DNS.SNMP‏ 


ومن الملاحظ أن تطبيقات المستخدم النهائية لا تعمل ضمن طبقة التطبيقات فمتصفح الویب مثلا لیس من 
طبقة التطبيقات ولكنه يستخدم البروتوكول 1۲١۴‏ الذي ينتمي إلى طبقة التطبيقات من أجل التخاطب مع 
مخدم الويب[13]. 


8.4.2.3( نظام أسماء النطاقات اختصار لجملة ٣eاSys Domain Name‏ ھو نظام یخزن 
معلومات تتعلق بأسماء نطاقات في قاعدة بيانات موزعة على الإنترنت.يقوم خادماسم النطاق بربط العديد 


من المعلومات بأسماء النطاقات» ولكن وعلى وجه الخصوص يخزن عنوان ۴| المرتبط بذلك النطاق. 


بمعنی آخر هو نظام يقوم بترجمة أسماء النطاقات من کلمات إلى أرقام تعرف باسم(55٥۲‏ ل۸ ۱۴) 


: 11 َة العالمية“ ڪڪ حسل لخادم أسماء 
(Internet)‏ / استعاته النطافات 


ا ا DNS Client wuww.ksu.edu.sal‏ 
2 ا أ و — 


| النطافات‎ 
ا‎ 4 | DNS Server | 
213.230.10.197 


إذا أردنا الاتصال بأي موقع علينا معرفة ۴| الخاص بهذا الموقع»ء فهناك ما يسمىء6 N2"‏ 2٣00ء‏ أو 
أسماء النطاقات» حيث أنه يكفي للاتصال بموقع ما أن نعرف اسم النطاق الخاص بهذا الموقع» عندما نكتب 
هذا العنوان في المتصفح » فإن الخطوة الأولى التي يقوم بها المتصفح هي الاستعلام عن | الخاص بهذا 
الموقع» ويتم هذا عبر 08 أو نظام أسماء النطاقات» وهذا عن طريق خادم يترجم أسماء النطاقات» إلى 
عناوين ۴ء اللازمة للحاسوب كي يقوم بالاتصال مع الموقع. 

يعتبر نظام أسماء النطاقات مفيداً لعدة أسباب» أكثرها وضوحاء أنه يجعل من الممكن استبدال عناوين ۴| 
الصعبة التذكر مثل 207.142.131.206 بأسماء نطاقات سهلة التذكر» وهذا يسهل على البشر التعامل 
مع عناوين الشبكة وعناوين البريد الإلكتروني» كما أن النظام يسمح بإنشاء أسماء معترف بها ويمكن 
الوصول إليها دون الاتصال مع التسجيل المركزي في كل مرَة . 


r53‏ یعتبر بروتوکول من بروتوکولات ۲۳۴/۱۴ للاتصال بأجهزة الكمبيوتر البعيدةء كما أنه 
تطبيق من تطبيقات ۲٥۴/۱۴‏ يتم استخدامه في تشغيل برامج 161٠6‏ لكي يتيح إمكانية التحكم عن بعد 
ويسمح للمستخدم الدخول من حاسوبه الشخصي إلى حاسب آخر وأن يقوم بالعمل كما لو كان متصل مباشرة 
مع الجهاز البعيد واستخدام مصادره وهذه المصادر ممکن أن نتکكرن chat services «online database‏ 
[27]. 


ھم میزات خدمات ۲٤۱٣٥‏ 


1. يمكنك استخدام ۲61٣6‏ كمتصفح ويب لأي موقع» ولكنه سيعرض لك مصدر الصفحة حصرا أي 
6 للصفحة» وذلك لأن خدمة ۲61٣6‏ كانت ثستخدم عندما كانت مواقع الإنترنت مجرد نصوص. 
2. ویمکن استخدام ٣۵۱٣٥٤‏ أیضا ک ۲٣٥ا‏ ۴۳۴ وذلك باستخدام أوامر یتم إدخالھا من خلال ٤٥ہام‏ 
3.ويمكنك من خلال ٠٠٠٣٠۲‏ أيضا تصفح الايميل اة ۴0۴ وقراءة رسائلك الواردة وارسال ما تريد من 


Post Office Protocol. رlصڏتخ|‎ ga, POP Nail رسائل»إذا کان الايميل من نوع‎ 


(Simple Network Management Protocol (SNMP JgSgتgرڊ.6.2.3‎ 

هذا البروتوكول هو عبارة عن الطريقة التي يتم من خلالها إدارة اغلب شبکات .۲٥۲۶/۱۴‏ 
ويتوقف البروتوكول 5۸۴ على ترتيب البرنامج المسئول عن تجميع المعلومات والبرنامج المسئول عن 
الإدارةء إذ يعمل برنامج تجميع المعلومات على تجميع معلومات حول الجهاز المضيف» في حين يعمل 


البرنامج المسئول عن الإدارة على الحصول على معلومات الحالة فيما يتعلق بأجهزة الكمبيوتر المضيفةء 
وذلك من خلال تعداد برامج تجميع المعلومات وقبول المعلومات الصادرة عنها[2]. 


3.وسائل تحقيق الأمن في طبقة التطبيقات 
امن طبةة lاlتطبيlaت (Security of Application Layer)‏ 

كل طبقة من طبقات ا058 لديها قناعاتها وتحديات أمنية فريدة من نوعها طبقة التطبيقات هي حلقة 
ضعيفة جدا من الناحية الأمنية لأن طبقة التطبيقات تدعم العديد من البروتوكولات التي توفر العديد من نقاط 
الضعف ونقاط الوصول للمهاجمين» كل هذا التنوع يجعل من طبقة التطبيقات من الصعب جدا للدفاع عنهاء 
وبالإضافة إلى ذلك» طبقة التطبيقات هي جذابة للغاية لمهاجم محتمل لأن المعلومات التي يسعون يقيم في 
نهاية المطاف ضمن التطبيقات نفسها وأنها هدف مباشر بالنسبة لهم ليكون لها تأثير وتحقيق أهدافهم 
[18]. 


3.الفئات الرئيسية للمخاطر على مستوى التطبيقات هي كما يلي: 


الأمن على شبكة الإنترنت: التوازن بين الأمن وسهولة الوصول إليهاء سرقة المعلومات السريةء وتعديل 
أنظمة وشن هجمات مختلفة من ناحية أخرى» فيروس /دودة: إلى المستخدم النهائي» المحتوى النشط» مثل 
عناصر تحكم ×۷6ا٥۸‏ وتطبيقات جافاء ويدخل في ذلك إمكانية تصفح الإنترنت وسوف تنقل فيروسات أو 
البرامج الضارة الأخرى في النظام المستخدم لمدير الشبكة» ومتصفحات الويب مع المحتوى النشط توفر 
طريقا للبرمجيات الخبيثة للالتفاف على نظام جدار الحماية والدخول على الشبكة المحلية. 


خصوصية المعلومات: كل من المستخدمين النهائيين ومديري ويب مدعوون للقلق على سرية البيانات 


ال اة عر فة ورت 


أمن البريد الإلكتروني: إذا كان الاتصال بخادم بريد الويب الخاص بك هو "غير آمن' (أي عنوان 
هو //:ص٤ا‏ و//:كمااا )» ثم كل المعلومات بما في ذلك اسم المستخدم وكلمة السر غير مشفرة لأنها تمر 
بين واجهة الخادم وجهاز الكمبيوتر الخاص بك S۷0۲۴‏ :8۸1۲۴ لا تشفر الرسائل بالإضافة إلى ذلك 
اسم المستخدم وكلمة السر 'الدخول" إلى خادم 511۴ هي أيضا في نص عادي .قد تكون هذه المعلومات 
متاحة لجميع المستفيدين» تشكل مصدر قلق الخصوصية ۴0۴ و 1۸۴| هذه البروتوكولات تتطلب منك 


إرسال اسم المستخدم وكلمة السر للدخول» والتي هي غير مشفرة .هكذاء يمكن قراءة الرسائل وأوراق الاعتماد 
من قبل أي متنصت للاستماع إلى تدفق المعلومات بين الكمبيوتر الشخصي وجهاز كمبيوتر مزود خدمة 
البريد الإلكتروني» حيث يعتبر فيروس / دودة: البريد الإلكتروني هي ناقل نشطة للغاية من الفيروسات 
والديدان[18]. 


هجوم كلمة السر: يشار إلى هجوم كلمة السر من خلال سلسلة من عمليات تسجيل الدخول الفاشلة في 
غضون فترة قصيرة من الزمنء كلمة السر أدوات الحفظ معظم التدقيق يتضمن جداول كلمة السر قبل 
محسوب يحتوي على تريليونات من التجزئة كلمة السر التي تم حسابها في وقت سابق لتدقيق كلمة المرور 


وعملية الاسترداد 


هجوم015: ويسمى أيضا (N5‏ الغش أو N8‏ 0 مخباً التسمم» انه من الهجمات التي تهدف إلى إعادة 
توجيه المستخدمين إلى خوادم الويب المحتمل أن تكون ضارة من خلال تغيير السجلات المستخدمة لتحويل 
أسماء النطاقات إلى عناوين رقميةء والذي يستخدم في طريقة أخرى للمحتالين على الإنترنت لتثبيت الدعاية 
العدوانية البرامج» أو ادواري» وعلى أجهزة كمبيوتر الضحايا وتوجيه الناس بالنقرة على المواقع على شبكة 
الإنترنت» نظام اسم المجال هو بروتوكول ضعيف أصلا في هذا النمط من الهجوم بسبب ضعف معاملات 


المعرفات 16 بت . 


لحظة أمن الرسالة: أكثر المخاطر الأمنية هي: الفيروسات والديدان خلال التراسل الفوري» وانتحال الهوية 


سرقة / التوثيق» ونفق جدار حماية أمن البيانات و التسريبات» والرسائل الفورية غير المرغوبة.[18] 


هجوم:S1۴‏ معظم أجهزة دعم إدارة الشبكة البسيط (S۷۶؟)‏ لشبكة رصد الغرض .حيث يتمكن 
المهاجمين من الوصول إلى 8ا1 من وكلاء S۷۴‏ الذي يمكن أن ينتج عنه تعيين الشبكةء يمكن 
رصدها والاتجار بها وتوجيههاء أفضل وسيلة للدفاع ضد هذا الهجوم هو الترقية إلى5۴3 » الذي يشفر 
كلمات المرور والرسائل [18]. 


مخاطر نظم التشغيل: جميع أنظمة التشغيل ليست آمنةء وخاصة نظام التشغيل ويندوز وأنظمة يونيكس . 
التطبيقات الأخری ۴۲۲۴ و ٠٠1١6‏ بعض الإصدارات القديمة من تطبيقات الشبكة مثل بروتوكول نقل 
الملفات سلبية ويرجح مع الثغرات الأمنية .ينبغي الحصول على أحدت الإصدارات من المنتجات تنفذ بقع 
الأمنية الأخيرة مع معظم مشاكل أمن الشبكةء وليس هناك حل سحري لعلاج هذه المشاكل» ومع ذلك» هناك 
العديد من التقنيات والحلول المتاحة للتخفيف من حدة المشاكل الأمنية أعلاه» وعلى رصد شبكة للحد من 
الأضرار في حال هجوم يحدث» للتخفيف من حدة المشاكل الأمنية لطبقة التطبيقات» وقد وضعت العديد من 


3 التقنيات الرئيسية هي كما يلي: 


S/ هي مواصفات لتأمين البريد الالكتروني‎ )5 / MN|M٤( ملحقات بريد إنترنت‎ / Multipurpose jnil| 
الذي يقوم على أساس معیار 1|۴ الشعبية» ويصف مشروع بروتوكول لإضافة خدمات تشفير‎ M٤ 
من الكائنات التي تم توقيعها رقميا ومشفرةءهذه الخدمات الأمنية والتوثيق›‎ 1E أمني من خلال تغليف‎ 


و »non repudiation‏ سلامة الرسالةء ورسالة سرية . 


الخصوصية (۶6۶) هو یستخدم عمدا خوارزميات التشفير القائمة۸8۸» 2۴۸|» 1005 بدلا من اختراع 


جدید PEP‏ يدعم سرية»› والتوقيعات الرقميةء وادارة المفتاح» وضغط البيانات[18]. 


آمن (8-۳1۲۲۲۴) 1۲۴ هو مجموعة شاملة من 1۲۲۴ » والذي يسمح لتكون مغلفة حركة المرور على 
الشبكة بطرق مختلفة 5-1۲١۴‏ .يوفر تشكيلة واسعة من آليات» والسرية المصادقة والنزاهة.وكان الفصل 
بين السياسة العامة من آلية هدفا واضحاء لا يرتبط نظام 5-۳1۲١۴‏ إلى أي نظام تشفير خاص» والبنية 
التحتية الأساسية»ء أو شكل التشفير . 

البنية التحتية للمفتاح العاما۴ )۴۸١(:‏ يوفر حلا متكاملا مع الشهادات الرقميةء وتشفير المفتاح العا 
والسلطات الشهادة التي تمكن الشركات من أجل حماية أمن الاتصالات والمعاملات التجارية على شبكة 


الإنترنت» نموذجي شبكة ۲)١‏ يشمل إصدار شهادات رقمية للمستخدمين الأفراد والخوادم» للمستخدم النهائي 


البرمجيات الالتحاق؛ التكامل مع الدلائل شهادة الشركات» وأدوات لإدارة وتجديدء وشهادات إلغاءء والخدمات 
ذات الصلة ودعمها [3]. 


لمكافحة الفيروسات هناك أنظمة: العديد من المنتجات في العميل أو مستوى الملقم تعمل لاعتقال وقتل 
الفيروسات من مصادر مختلفة بما في ذلك حركة 1۲١۴‏ ويب» والبريد الإلكتروني والخدمات. 


وهناك العديد من تقنيات الطبقة السفلى التي تدعم أمن طبقة التطبيقات وفيما يلي بعض الأمثلة: 
طبقة مآخذ التوصيل الآمنة (-551) وأمن طبقة النقل (۲15) لبروتوكولات التشفير التي توفر اتصالات آمنة 
على الإنترنت 118 هو 0۲ءsھccںsu‏ من ا55 / ا5 ,ا58 یعمل علی طبقات تحت بروتوکولات 
التطبیق متل 177° › 5(۴ و NN۲۴‏ وفوق بروتوکول النقل ۲٥۴‏ في حین ا55 / ۲S1‏ يمکن أن 
تضيف إلى أي أمن بروتوكول يستخدم برنامج التعاون الفني» هو الأكثر شيوعا مع ۳11١۴‏ لتشكيل 

5والذي يعمل على تأمين صفحات الشبكة العالمية للبريد[18]. 


من بروتوكول الإنترنت: أمن بروتوكول الإنترنت تقدم خدمات الأمن في طبقة الملكية الفكرية من خلال 
تمكين نظام لتحديد البروتوكولات الأمنية المطلوبةء وتحديد خوارزمية لاستخدامها في خدمة › ووضعها في 
أي مكان مفاتيح التشفير اللازمة لتقديم الخدمات المطلوبة . 
جدار الحماية: منتجات جدار الحماية مصممة لحظر الزوار المتطفلين وحركة المرور الضارة .[18] وفيما 
يلي سنقوم بشرح مفصل لأهم التقنيات المستخدمة في أمن طبقة التطبيقات. 
3.3 .بروتوكول طبفة إلمقبس !لjaî Secure Socket Layer Protocol (SSL)‏ 

لاقى اS5‏ قبولا واسعا كبروتوكول للتحقق من هوية طرفي الاتصال وتشفير المعلومات المتبادلة 


بينهما» صمم البرتوكول في الأساس من قبل شركة ٥م2ءN6s‏ وحاليا اصدر مجلس IETF (Internet‏ 


Engineering task Force)‏ معیارا جدیدا هو Layer Security)‏ ortمanspا‏ ")15 والمبني بالاعتماد 


على بروتوکول S81‏ ويتوقع أن تقوم 1615٥48‏ بدعم هذا البروتوکول في معظم منتجاتها . 


يقدa‏ ڊرJgSgag )ransmission Control Protocol /lnternet Protocol)‏ Pا/CP‏ خدمة النقل 
والتوجيه للبیانات على الإنترنت › وتقوم بروتوکولات التطبیقات باستخدام 1٥۴/۱۴‏ لأداء مهامها ومن هذه 
البروتوكولات 1۲۲۴ » S11۴‏ » ... » ولكن يفتقر بروتوكول ۲۳۴/١۴‏ إلى الأمن والسرية في نقله 

للمعلومات مما أظهر الحاجة إلى وجود طبقة وسيطة بين بروتوكول النقل وبروتوكولات التطبيقات . 


HTTP L2, P I14, PF ا‎ 
Ap plization layer 


eteyror le layer 
SELUFE sorleets layer 


E SE 


شكل(2.3) يوضح الطبقات التي يأمنها ا85 


بزوتوگرل ۲6۴/1۶ لفل البيانات بعد تظيق؛العمليات اللذزمة لمان الأمان والسرية قى النقل : 


1. التحقق من هوية المخدم : يستطيع المستخدم بواسطة هذا البروتوكول التحقق من هوية المخدم الذي 
يتعامل معه وذلك باستخدام تقنيات معيارية للتشفير بالمفتاح العام» حيث يتم التحقق من الشهادة الرقمية 
للمخدم فيما إذا كانت صالحة وصادرة من جهة موثوقة بالنسبة للزبون ويتم التحقق أيضا من المفتاح 
العام المرتبط معها وتعد هذه العملية ذات أهمية كبرى للمستخدم حيث يحتاج ضمانة إلى أن أحدا لن 
ينتحل شخصية البنك ويقوم بالتقاط رقم بطاقة اعتماده متلا عندما يرسلها على الشبكة . 


. التحقق من هوية الزبون : يتم في هذه المهمة عمل نفس الخطوات في الوظيفة السابقة ولكن هذه المرة 


يحتاج المخدم إلى التحقق من شرعية الزبون ويقوم بذلك بنفس التقنيات أيضا. 


. الاتصال المشفر : تهتم الوظيفتان السابقتان بالتحقق لكل طرف من هوية الطرف السابق ولكن قد يحتاج 


الطرفان إلى عدم اطلاع طرف ثالث على المعلومات المرسلة أيضا » لذلك يؤمن ا55 بناء اتصال 
مشفر بين الطرفين مما يمنح سرية عالية للاتصال» ولكن بقيت لدينا مشكلة وحيدة وهي العبث 
بالمعلومات» يقوم ا55 بحل هذه المشكلة حيث يقوم بشكل تلقائي من أن المعلومات لم تتغير منذ 
إرسالها [9]. 


3 بني بروتوکول ا881 


یتألف بروتوکول ا58 من برتوکولین جزئیین : 


SA SES STS SS 


E‏ عرف اة اكم رال اترات 


. بروتوكول المصافحة في ا55 : يغلف بواسطة البروتوكول الجزئي الأول حيث يقوم بتبادل سلسلة من 


الرسائل بين ا55 المخدم و ا55 الزبون وذلك عند بدء تأسيس اتصال -اS5»‏ يتم في هذه السلسلة من 
الرسائل تحقيق الوظائف السابقة : 

التحقق من هوية المخدم لصالح الزبون . 

اختيار المشفر أو خوارزمية التشفير التي يستطيع كلا الطرفين دعمها . 

التحقق من هوية الزبون وذلك في حال طلب المخدم ذلك . 

استخدام تقنية التشفير بالمفتاح العام لتوليد سرية مشتركة لكليهما . 

تأسيس اتصال اSS‏ المشفر . 


3.3 خوارزميات التشفير المستخدمة في ا85 


يدعم ا55 عددا من خوارزميات التشفير التي يستخدمها في العمليات المختلفة مثل إرسال الشهادة 
E RA‏ ع کل کن لرن اا ر م ن 


خوارزميات التشفير وذلك عائد إلى عدة عوامل منها اختلاف نسخ ا55 التي يعمل عليها كل منهما أو 


اختلاف درجة الحماية المطلوبة من عملية لأخرى أو القوانين التي تمنع استخدام خوارزميات تشفير 
محددة . 

۰ تمنح خوارزمیات تبادل المفتاح متل ۸K٤۸‏ و ۸5۸ طريقة ل ا55 لتحديد مفتاح التناظر الذي سوف 
يستخدم خلال جلسة عمل 58S1‏ » الخوارزمية الأكثر استخداما هي RSA key exchange‏ 

٠‏ يوجد مجموعة من خوارزميات التشفير والمدعومة من قبل 2.0 S51‏ و 3.0 اS5‏ » لذلك يستطيع 
المسؤول عن الأمن في الشبكة أن يقوم بإلغاء تمكين بعض الخوارزميات وذلك حسب القوة المطلوبة 
للتشفير والتي تعتمد بشكل أساسي على نوع المعلومات المراد نقلها ومدى سريتها والسرعة المطلوبة › 
حيث يقوم الطرفان بالتفاوض على استخدام الخوارزمية ذات القوة الأعلى والمطلوبة من أحدهما . 

4...3 المصافحة في S81‏ 


تعد الخوارزميات التي تستخدم المفتاح المتناظر أسرع من خوارزميات المفتاح غير المتناظر و المفتاح 
العام» ولكن خوارزميات المفتاح العام أفضل من حيث التحقق من الهويةء لذلك تستخدم S81‏ مزيج من هذه 
التقنيتين» حيث تقوم في بداية فتح اتصال ا55 بتبادل عدد من الرسائل تدعى بالمصافحةء تستخدم في 
المصافحة تقنية المفتاح العام للتحقق من هوية المخدم من قبل الزبون» وبعد إتمام هذه العملية بنجاح يتعاون 
الطرفان في إنشاء المفاتيح المتناظرة التي ستستخدم في الجلسة للتشفي وفك التشفير وكشف محاولات العبث 


ارما ت بدك وتقكل ل ي التق من هة اررق 
3 خطوات المصافحة : 


1. يرسل الزبون إلى المخدم نسخة ا55 التي يدعمها واعدادات المشفرات وبعض البيانات المولدة عشوائيا 
بالإضافة إلى معلومات أخرى يستخدمها المخدم في الاتصال مع الزبون . 

2. يرسل المخدم إلى الزبون نسخة ا55 التي يدعمها واعدادات المشفرات وبعض البيانات المولدة عشوائيا 
بالإضافة إلى شهادة المخدم الرقمية › وفي حال كان المخدم يحتاج إلى التحقق من هوية الزبون يرسل 
أيضا طلب تحقق من هوية الزبون . 

3. يقوم الزبون بواسطة المعلومات المقدمة من المخدم بالتحقق من هوية المخدم » في حال عدم نجاح 
العملية يتم قطع الاتصال» أما في حال نجاحها ينتقل الزبون إلى الخطوة رقم 4 . 


4. يستخدم الزبون كافة المعلومات المتوفرة في المصافحة في توليد المفتاح الأساسي الأولي لهذه الجلسة 
ويقوم بإرساله إلى المخدم مشفرا بواسطة المفتاح العام للمخدم . 

5. في حال طلب المخدم التحقق من هوية الزبون يقوم الزبون بوضع توقيعه الرقمي على البيانات المولدة 
عشوائيا من المخدم ويرسلها مع الشهادة الرقمية في نفس الرسالة التي يرسل فيها المفتاح الأساسي 
الأولي. 

6. إذا كان المخدم قد طلب التحقق من هوية الزبون» فإنه يقوم بالتحقق من المعلومات المرسلة من الزبون 
وفي حال نجاح ذلك يقوم المخدم بفك تشفير المفتاح الأساسي الأولي بواسطة مفتاحه الخاص ومن ثم 
ينفذ المخدم والزبون عدد من العمليات كل على حده باستخدام نفس المفتاح الأساسي الأولي وذلك لتوليد 
المفتاح السري الأساسي . 

7. بعد توليد المفتاح السري الأساسي لدى كل من المخدم والزبون» يقوم الطرفان باستخدامه في توليد مفاتيح 
الجلسة والتي سوف تستخدم لاحقا في تشفير وفك تشفير الرسائل بالإضافي إلى كشف محاولات العبث 
بها . 

8. يرسل الزبون رسالة إلى المخدم يخبره فيها بأنه سوف يستخدم مفاتيح الجلسة في تشفير الرسائل القادمة 
ومن ثم يرسل رسالة تدل على انتهاء عملية المصافحة من جانبه» ولكنه يستمر في استقبال رسائل 
المخدم . 

9. يرسل المخدم رسالة إلى الزبون يخبره فيها باستخدامه لمفاتيح الجلسة في تشفير الرسائل القادمة ومن تم 
يرسل رسالة تدل على انتهاء عملية المصافحة . 


أصبح من الممكن الآن بدء إرسال واستقبال المعلومات من كلا الطرفين [9]. 


3 التحقق من هوية المخدم 
تمنع عملية التحقق من هوية المخدم انتحال الشخصيةء حيث يقوم الزبون بطلب الشهادة الرقمية للمخدم» عند 
إرسال المخدم لشهادته الرقمية يسأل الزبون نفسه الأسئلة التالية والتي يجب أن يكون جواب كل منها "نعم ' 


حتى يتم نجاح التحقق من هوية المخدم. 
6.3 التحقق من هوية الزبون 
يرسل المخدم طلب تحقق من هوية الزبون عند الحاجة لذلك » ويرد الزبون بتشفير المعلومات التالية 


. الشهادة الرقمية للزبون‎ ٥ 

ه التوقيع الرقمي لبيانات معروفة من قبل المخدم والزبون فقط ويكون قد تم الاتفاق عليها خلال عملية 
المصافحة . 

وبعد تشفير ما سبق يقوم الزبون بإرسالها إلى المخدم الذي يقوم بالتحقق من الشهادة بالطريقة التالية »> يجب 

أن يتم الرد بالإيجاب على أول أربعة أسئلة من الأسئلة التالية : 


1. هل المفتاح العام للزبون يحقق توقيعه الرقمي ؟ 

يقوم المخدم بفك تشفير التوقيع الرقمي بواسطة المفتاح العام المرسل مع شهادة الزبون الرقمية › فإذا وجد أن 
المعلومات المرسلة قد تغيرت فهذا يعني أن هناك من قام بتغيير البيانات بعد تطبيق التوقيع الرقمي عليها › 
عدم تغير البيانات يبين وجود علاقة بين المفتاح العام المستخدم في فك التشفير والمفتاح الخاص المستخدم 
في التشفير › إن اجتياز هذا الشرط لا يعني أنه تم إجازة الشهادة الرقمية وإنما يجب التحقق من الأسئلة 
الثلاثة الباقية لمنع حدوث انتحال شخصية حيث أنه ن الممكن أن يقوم شخص ما بإنشاء شهادة ما بهدف 


ارا ا 


2. هل تاريخ اليوم ضمن فترة صلاحية الشهادة ؟. 
في حال كان الجواب لاء يتم إنهاء عملية التحقق عند هذا الحد واعادة رسالة خطأً . 


3. هل مصدر الشهادة الرقمية هو 0۸ موثوق أي مصدر شهادات موثوق بالنسبة للمخدم ؟. 

يملك كل مخدم S51‏ قائمة لمصدري الشهادات الموثوقين بالنسبة إليه » تحتوي هذه القائمة على حقل 
Name)DN‏ uishedوistin)‏ يحوي الاسم المميز لمصدر الشهادة »> يتم فحص هذا الشرط بالبحث عن 
مصدر شهادات موثوق في القائمة المخزنة لدى المخدم يتطابق حقل 0١‏ لديه مع حقل 0١‏ الموجود في 
الشهادة » في حال تجاوز هذا الشرط يتم الانتقال إلى السؤال الرابع . 


4. هل المفتاح العام العائد لمصدر الشهادة يفك تشفير التوقيع الرقمي › وهل المعلومات المرسلة في الشهادة 
للتحقق من التوقيع الرقمي يقوم المخدم بالخطوات التالية : 


يفك الزبون شيفرة التوقيع الرقمي للجهة المصدرة ۸© بواسطة المفتاح العام الذي من المفترض 
وجوده في قائمة مصدري الشهادات الموثوقين . 
يطبق المخدم تابع الاتجاه الواحد المستخدم من قبل 0۸ المصدرة للشهادة على البيانات المرسلة من 
المخدم › يتم بعد ذلك المطابقة بين التوقيع الرقمي المرسل مع الشهادة وقيمة التابع الناتجة : 

> في حال التطابق نستنتج أن المعلومات المرسلة في الشهادة صحيحة وفي هذه الحال يكون قد تم التحقق 
من شهادة الزبون الرقمية ويستطيع الطرفان البدء بتبادل المعلومات بينهما أو بإكمال التحقق من الشروط 
الاختيارية الباقية والتي ليست من التقنية الأساسية د ا58؟ . 

> ينتج عدم التطابق إما بسبب تغيير في الشهادة أو أن المفتاح العام المستخدم في فك التشفير لا يتوافق 
مع المفتاح الخاص المستخدم في تشفير المعلومات › وفي هذه الحالة يتم رفض الشهادة . 

5. هل الشهادة الرقمية للزبون موجودة في LDAP(Lightweight Directory Access Protocol) Jul‏ 
؟ 

دليل يمكن تعريف الدليل في حالتنا هذه على أنه نمط خاص من قاعدة البيانات يعطي إمكانية الوصول 

السريع لمخازن البيانات » ويساعد هذا النمط في تنظيم مجموعات المستخدمين للموارد التي يقدمها المخدم 

حيث يعرف الصلاحيات الممنوحة لكل مجموعة » في حال عدم وجود مدخل لشهادة ما في هذا الدليل فهذا 


يعني أن الشهادة ملغية » في الحالة الأخرى يتم الانتقال إلى السؤال السادس . 


6. إذا وجد مدخل للشهادة في الدليل فهل يملك الزبون ملك الشهادة الصلاحيات التي تمكنه من استخدام 
الموارد المطلوبة ؟ 

في حال الإجابة بنعم يقوم المخدم بتأسيس اتصال مع الزبون وبدء تبادل المعلومات أما في الحالة الأخرى 

يتم رفض طلب الزبون » يبحث المخدم عن الصلاحيات الممنوحة للزبون في قوائم التحكم بالدخول ا٤۸‏ 
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شكل(3.3): يوضح التحقق من هوية الزبون 


(TLS) Transport Layer Security Jail .أمن طبقة‎ 4.1.3 


وهي تقنية مطورة من سابقتها طبقة مآخذ التوصيل الآمنة (551)» وبروتوكولات التشفير التي توفر أمن 
N E E E SSL. E ES a a‏ 
امام ما2 اقفن غير الفقاظي و الفن المقاظن الخضو ية ورهرر الرسائن ,النادمة الرياة 


إصدارات عديدة من البروتوكول قيد الاستخدام على نطاق واسع في التطبيقات متل تصفح الإنترنت والبريد 


الالكتروني والفاكس ٠.‏ والرسائل الفورية والصوت عبر بروتوكول الإنترنت فويب. 
5هو أحد معاییر ۴۳۴| للبروتوكولات» آخر تحديث في 5246 8۴٥‏ ويقوم على أساس المواصفات 


بروتوكول 15ا۲ يسمح بخدمة العملاء لتطبيقات الاتصال عبر الشبكة بطريقة تهدف إلى منع التنصت 
والعبث. 

ويمكن استخدام معظم البروتوكولات سواء مع أو بدون ۲15 (أو ا85) من الضروري أن نشير إلى الخادم 
ما إذا كان العميل يجري اتصال 115 أو لا. 


هناك طريقتان رئيسيتان لتحقيق ذلك» الأولى هي استخدام رقم منفذ مختلف لاتصالات 15ا۲ (على سبيل 
المثال المنفذ 443 ل5 1۲7۴). والأخرى هي استخدام رقم المنفذ العادي ويكون طلب العميل أن الملقم تبدل 
اتصال ۲15 باستخدام آلية محددة في البروتوکول (على سبیل المثال 5۲1۸۸۲۲1-8 لبروتوكولات البريد 
والأخبار). 


مرة واحدة العميل والخادم قد قررا استخدام 18 إجراء تفاوض لاستخدام إجراء المصافحة. وخلال هذه 
المصافحة»ء العميل والخادم يتفقان على معايير مختلفة تستخدم لإرساء اتصال امن[24]. 


4.3 المصافحة في 58ا1 


1. المصافحة تبدأً عندما يتصل عميل إلى خادم 15ا۲ لتمكين طلب اتصال آمن» ويقدم قائمة من برامج 
التشفير معتمدة (الأصفار ووظائف التجزئة). 

من هذه القائمةء الخادم يختار أقوى الشفرات» وظيفة التجزئة أنها تدعم أيضا إعلام العميل بهذا القرار . 

2. يرسل الملقم مرة أخرى تحديد هويته في شكل شهادة رقمية. الشهادة عادة ما تحتوي على اسم الخاد 


العميل يمكنه الاتصال بالخادم الذي أصدر الشهادة › والتأكد من صلاحية الشهادة قبل المتابعة. 


3. من أجل توليد مفاتيح الجلسة المستخدمة للاتصال آمن» يقوم العميل بتشفير رقم عشوائي مع مفتاح 
للملقم العام ويرسل النتيجة إلى الملقم. فقط يجب أن يكون الملقم قادرا على فك تشفيرهاء مع المفتاح 
الخاص من الرقم العشوائي» وكلا الطرفين تولد مادة المفتاح لتشفير وفك» هذا ويختتم مصافحة ويبدأً 
اتصال آمن» والذي يتم فيه تشفير و فك التشفير مع المواد الأساسية حتى يغلق الاتصال[24]. 
إذا أي واحدة من الخطوات المذكورة أعلاه فشلت» فان مصافحة 15ا1 ستفشل ولن يتم إنشاء اتصال 
آمن. 

IPSec .5.3.3 

0 هي مجموعة معايير من البروتوكولات والخوارزميات طورت بواسطة اللجنة الخاصة بنظام 
الإنترنت Engineering Task Force (IEF)‏ ternetہا‏ واعتمدت کمعاییر الإنترنت لتوفر التحقق من 
سلامة وسرية المعلومات التي أرسلت عبر شبكات ١ء‏ وذلك بجعلها تعمل في طبقة ۴| بحيث تتمكن من 

حماية أي نوع من نقل البيانات من خلال ۴| [11]. 


عاد يعبر jù Transparent Security Protocol lqiİڊ |°SecC je‏ المستخدم و التطبيقات لا 
يشعرون بوجودها لأنها تعمل على طبقة الشبكة ( ٣#رةا‏ )0۲ساه. )» ويعمل |5٠٥١‏ في البيئات التي 


Application S/ MIME 


Presentation 


شكل (4.3): توضح الصورة موقع |5٥‏ في OSI Model‏ 


1.5.3 بروتوكولات °| 


ينقسم ۴٥٥°‏ إلی ثلاث بروتوکولات : 


AH : Authentication Header :Î 

یستخدم ۸۳ في توقیع 519۸ الرسائل والبیانات ولا یعمل علی تشفیرھا ۸٥اام ٤٣٥۲۷‏ » حیث یحافظ علی: 
1. موثوقية البيانات رااءا† ٢اه‏ واه2: أي أن البيانات المرسلة من هذا المستخدم هي منه وليست 
مزورة أو مدسوسة. 


2. صحة البيانات أ٣‏ هاا 0a‏ : أي أن البيانات المرسلة لم يتم تعديلها على الطريق (أثناء مرورها 
على الأسلاك) . 


3. عدم إعادة الإرسال ۷ةامه۸-٣A:‏ وهذه الطريقة التي يستخدمها المخترقون حيث يقومون بسرقة كلمة 
المرور وهي مشفرة ويقومون بإعادة إرسالها في وقت آخر للسيرفر وهي مشفرة يفك السيرفر التشفير ويدخل 
اسم المستخدم على أنه شخص آخر» |۴56٥‏ يقدم حلولاً لمنع هذه العملية من الحدوث. 
4. الحماية ضد الخداع Anti-Spoofing protecti0٩‏ : يوفرععھ°5| حماية ضد الخداع من قبل 
المستخدمين › متلا يمكن أن يحدد مدير الشبكة انه لا يسمح لغير المستخدمين على 6 0او 
×.192.168.0 بينما لا يسمح لحاملي الهوية 192.168.1.× من دخول السيرفر» فيمكن للمستخدم أن 
يغير ۸00۲٠55‏ ۴| الخاص به » لكن |۴56٥‏ يمنع ذلك .(وأيضا يمكنك القياس على ذلك من خارج الشبكة 


إلى داخلها) يكون لكل حزمة .Digitally signed lqeaوم Packet‏ 


هذا هو الشكل العام لحزمة البيانات ۴٥6‏ التي تمر في بروتوكول ۸۳١‏ . 


Authent icat ion 


ا 
E E ESER AEA EAD r AER‏ 
8 7 


header 3 
Authenticated packet section 


شكل(5.3): يوضح حزمة البيانات ٥)6‏ ه۴ التي تمر في بروتوکول ۸۳۲ 
ثانياً: Encapsulating Security Payload : ESP‏ 


يوفر هذا البروتوكول التشفير والتوقیع للبیانات معا ad Signi ٣9‏ nˆەioاEncryp‏ › و یستخدم ھذا 
البروتوكول في كون المعلومات سرية اaن†‏ "اهت أو ا6عم5 . أو عند إرسال المعلومات عن طريق 
Network‏ icاPub‏ متل الانترنت. 


يوفر 8۴ع المزايا التالية: 


Source authentication. 1‏ : وهي مصداقية المرسل» حیث لا یمکن لأي شخص یستخدم |۴5٥٥‏ 


تزوير هويته (هوية المرسل). 


2.التشفیر للبیانات ٤ ٣٥۲۷مأآ ٥٣‏ ه0 : حيث يوفر التشفير للبيانات لحمايتها من التعديل أو التغيير أو 
القراءة. 


ay.3اRep-Anti‏ : موضحة في ۸٩‏ . 


.۸۳ موضحة في‎ : Anti-Spoofing Protection.4 


Internet Key Exchange : IKE : ٿال‎ 


الوظيفة الأساسية لهذا البروتوكول هي ضمان الكيفية وعملية توزيع ومشاركة المفاتيح 0۷8 بين 
مستخدمي |56٥‏ » فهو بروتوکول ١٥1اه‌آاه‌وه"‏ أي النقاش في نظام |۴56٥‏ كما أنه يعمل على تأكید 
طريقة الموٹوقية ۸٥0٤4ء ٣٤‏ ٥٣ا۸‏ والمفاتیح الواجب استخدامھا ونوعھا حیث |5۴٥۲‏ يستخدم التشفير 
3 وهو عبارة عن زوج من المفاتيح ذاتها يتولد عشوائياً بطرق حسابية معقدة ويتم إعطاءه فقط للجهة 
الثانية ويمنع توزيعه وهو Symmetric Encrypi0^ عgi ja‏ أي التشفير المتوازي ويستخدم تقنية مأi۷a٣۴‏ 


. Key 


5.3 أنظمة |۴5٥٥‏ المستخدمة في حماية الشبكات: 
1. نظام illتJ Transport Mode‏ 
2. نظام llنفق Tunnel Mode‏ ]3[. 


1.2.5.3 نظام النقل ٥ل ٥۲٤‏ م5٣‏ ه۲۴: يستخدم الشبكة المحلية ها حيث يقدم خدمات التشفير 
للبيانات التي تتطابق والسياسة المتبعة في |١5٠٥‏ بين أي جهازين في الشبكة أي يوفر Endpoint-to-‏ 
Endpoint Encryption‏ إذا قمنا بضبط سياسة |۴56٥‏ على تشفير جميع الحركة التي تتم على بورت 
3 وهو بورت ۲٥۱٣٩٤‏ (حیث ٥٥۱٣٩٤‏ ترسل کل شيء دون تشفیر ×6٣1ھا۴‏ ) فإذا تمت محادثه بین 
السيرفر والمستخدم على هذا البورت فان |5٥۴٥‏ يقوم بتشفير كل البيانات المرسلة من لحظة خروجها من 
جهاز المستخدم إلى لحظة وصولها إلى السيرفر» يتم تطبيق هذا النظام في الحالات التالية: 


أولاً: المحادثة تتم بين الأجهزة في داخل أو نفس الشبكة الداخلية الخاصة .Private 1۸ N‏ 
ثانياً: المحادثة تتم بين جهازين ولا يقطع بlaiı NAT : Network Address Jace Jag Firewall‏ 
ationاsا‏ نظام یمکن اات۷ ۴۲۲ من استبدال جميع عناوين ۴5| في الشبكة الداخلية من حزمة البيانات 
ack‏ واستبدالها في عنوان ۱۴ ء‌ااطنا۴ آخر» ونستفید من ذلك أنه لن نحتاج سوی عنوان ۱۴ واحد 07۵ 


۶| عأاطنا۴ » وأيضاً يقوم بإخفاء عناوين الأجهزة عن شبكة الانترنت للحماية من الاختراق الخارجي . 


2.2.5.3 نظام النفق "٣۴۱ 04e‏ ۲: یتم استخدام هذا النظام لتطبیق |۴56٥‏ بين نقطتين تكرن 
بالعادة بين 2 8۲ا٥8‏ إذاً يتم استخدام هذا النظام بين نقطتين بعيدتين جغرافياً أي سيتم قطع الانترنت 
في طريقها إلى الطرف الثاني › متل الاتصالات التي تحدث بين الشبكات المتباعدة جغرافيا ۷۷۸۸ء يستخدم 
هذا النظام عند الحاجة لتأمين البيانات فقط أثناء مرورها من مناطق غير آمنة كالانترنت» فمتلاً إذا أراد 
فرعين لشركة أن يقوم بتشفير جميع البيانات التي یتم إرسالها فیما بینهم على بروتوکول ۴۳۶۴ فيتم إعداد 
Tunneling Mode lui gle IPSec‏ . 


وهذه صوره مخطط لكل من ءاە)عة٣‏ في «AH‏ 5P۶ک٤‏ في Tunnel and Transpor jيمlظضiلl I‏ 


. Modes 
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. Tunnel and Transport Modes jınlظضill‎ qè ESP « AH „i Packets شکل(6.3):مخطط‎ 


|۴8٥٥ میزات‎ 3.5.3 


لقد ظهر ضعف كبير في عملية ١٥أم E٣٥۲۷‏ العادية التي تتم بين الأجهزة في الشبكات» وهذا الضعف 
تمتل في صعوبة تطبيق هذا الموضوع» وأيضا استهلاكه للوقت أي بطؤه الشديد في القيام بعملية التشفير 
وفکە ^ i0أdecryp Encryption and‏ فالفائدة الکبری التي ظهرت في ۱۳5٥٥‏ هي أنه يوفر حماية كاملة 
وواضحة لجميع البروتوكولات التي تعمل على الطبقة الثالث املهN‏ |05 ٥ط‏ ئه 3 مرت ا وما بعدها. 


من ممیزات ۱۴56٥‏ أيضا هو أنه موجود أصلاً ١أ-أاالا8‏ في داخل حزمة أم)ءة۴ اء فلذلك هو لا 


يحتاج لأي إعدادات لانتقاله عبر الشبكة ولا يحتاج لأي أجهزة إضافية لذلك [14]. 


4.5.3 طرق |۴5٥٥‏ في حماية الشبكة 


البيانات التي تمر في الشبكة يمكن أن تتعرض للعديد من أنواع الهجمات المختلفة» بعض الهجمات تكون 
غير فعاله ٥۷أووة۴‏ متل مراقبة الشبكة وہ اا Network Moni)‏ وبعضھا فعال ۷۵ا٥۸‏ مما يعني أنها 
يمكن أن تتغير البيانات أو تسرق في طريقها عبر أسلاك الشبكة. و سوف نستعرض بعض أنواع الهجمات 
على الشبكات. 


أولاً: التقاط حزم البيانات 9 أممه۲ 2۷650 E:حيث‏ يتم بذلك مراقبة حزم البيانات التي تمر عبر الشبكة 
بنصها الواضح دون تشفير )×6 ها۴ والتقاط ما يريد منهاء ويعالجها ۱١58٥‏ عن طريق تشفير حزمة 
البيانات» حتى لو التقطت الحزمة فإن الفاعل لن يستطيع قراءتها أو العبث بهاء لأن الطرف الوحيد الذي 
يملك مفتاح فك التشفير هو الطرف المستقبل. 


ثانيا: تعديل البياناتٽت ¬ټmodificati0‏ 4 !:حيث يتم بذلك سرقة حزم البيانات من الشبكة ثم تعديلها واعادة 
إرسالها إلى المستقبل» ويقوم |5٥٥‏ بمنع ذلك عن طريق استخدام الهاش 15۸ ووضعه مع البیانات تم 
تشفيرها معاً » وعندما تصل الحزمة إلى الطرف المستقبل فإن الجهاز يفحص "۸5۷١٠"٠ع‏ التابع للحزمة 
إذا تمت مطابقته أم لاء فإذا تمت المطابقة مع الهاش الأصلي المشفر تبين أن الحزمة لم تعدلء لكن إذا 


تغير الهاش فإن حزمة البيانات قد تم تغييرها على الطريق. 


ثالثاً: انتحال الشخصية و”ا؟هممء را١‏ 6لا: بحيث يتم استخدام حزم البيانات على الشبكة والتقاطها 
وتعديلها لتبين هوية مزورة للمرسل» أي خداع المستقبل بهوية المرسل» ويمنع ذلك عن طريق الطرق الثلاث 
التي يستخدمها ۱56٥‏ وهي: بروتوكول الكيربرس (اهعهاه٣۴‏ 5١۲٥ط6۲)).‏ والشهادات الالكترونية 
«Digital Certificates‏ وnشاركة‏ متاح .(Preshared Key) jı‏ 


حيث لا تتم عملية بدأ المحادثة وارسال البيانات قبل التأكد من صحة الطرف الثاني عن طريق إحدى الطرق 
المذكورة. 

رابعاً: S6۷8‏ د اام 8- 008 رفض الخدمة أو حجبها: حيث تعمل هذه الهجمة على تعطيل خدمة 
من خدمات الشبكة للمستخدمين والمستفيدين منهاء مثلاً كإشغال السيرفر في الشبكة بعمل عليه ۴|٥۵۵‏ مما 
يشغله بالرد على هذه الأمور وعدم الاستجابة للمستخدمين. ويعمل ٥۴56اعلى‏ منع ذلك عن طريق إمكانية 


غلقه أو وضع قواعد للمنافذ المفتوحة كأ٣ه۴.‏ 


خامساً: eالMid he‏ ہا -Man‏ ۲MاM:‏ من أشهر الهجمات في الشبكات» وهي أن يكون هنالك طرف 
ثالث يعمل على سرقة البيانات المرسلة من طرف لآخر وامكانية العمل على تعديلها أو العمل على عدم 
إيصالها للجانب الآخر»ء ويعمل |5٥٥‏ على منعه بواسطة طرق التحقق من الموûوقية‏ ¬ڼAuthenticati0‏ 


. methods 


تادا : الهجمات على طبقة التطبيقات s)ءھ)A Layer‏ icationاApp‏ : حیث تعمل هذہ الھجمات على 
التأثير على النظام المستخدم في أجهزة الشبكة وأيضاً تعمل على التأثير على البرامج المستخدمة في الشبكةء 
ومن الأمثلة عليها الفيروسات والديدان التي تنتشر بفعل ثغرات في الأنظمة أو البرامج أو حتى أخطاء 
المستخدمين. يعمل |۴56٥‏ على الحماية من ذلك بكونه يعمل على طبقة 1۷8۲ا ۴| فيعمل على إسقاط أي 
حزمة بيانات لا تتطابق مع الشروط الموضوعة لذلك » لذا تعمل الفلاتر على إسقاطها وعدم إيصالها 
للأنظمة أو البرامج [19[]3]. 


بشکل عام IPSec‏ يحمي من معظم الهجمات عن طريق استخدامه ميكانيكية التشفير المعقدة» حيث 
يوفر التشفير الحماية للبيانات والمعلومات أيا كانت أثناء انتقالها على الوسط (أيا كان) عن طريق عمليتي 
التشفير ¬ټEncrypti‏ ,llھاڻش .Hashing[14]‏ 


طريقة التشفير المستخدمة في |٥5٥٥‏ عبارة عن دمج لعدة ۳58 1۸أ٣۸|90‏ ومفاتيح» وحيث 
070 ل|ا: عبارة عن العملية الحسابية التي تمر فيها البيانات لكي تشفر. 


,۴6 : وهو عبارة عن رقم (كود) سري يتم من خلاله قراءه أو تعديل أو حذف أو التحكم في البيانات 
المشفرة بشرط مطابقته للطرف الثاني الذي قام بعملية التشفير [19[]2] [20]. 


SMB.6.3.3 


وهي 1^9^ SMB Sig‏ اختصار Server Message Bloc)‏ وهي sأە)عھم‏ التي يتم إرسالها بين 
السيرفر والأجهزة في عملية المشاركة في الملفات وغيره 5۸۲1١9‏ وللحماية من طريقة سرقة المعلومات 
أثناء مرورها في الأسلاك ™ rhe Middاe M7‏ ہا Man‏ وھذہ الطریقة تدعی وہاہوا؟ 5۸M8‏ یتم 
بواسطتها إضافة 5ه1! وهي طريقة يتم من خلالها استخلاص رمز معين حسب حسابات رياضيه من 
الرسالة » ومن الأمثلة عليه104 M05.‏ » 514-1 ويتم تشفير هذا 5ة وإضافته للرسالة وبذلك 


.[17] Message or Packet Integrity ةlluرll نحافظ على صحة‎ 


H۸81 7..3.الھاش‎ 


الهاش عبارة عن مجموعة أرقام وأحرف عشوائية يتم توليدها بطرق حسابيه معقده جدا من نص (ممكن 
رسالة) أو من حزمة بيانات» أو حتى من بيانات حجمها 1000 ميجاء الهاش طوله وشكله ثابت لا يتغيرء 


هو لا يفن وانما هو اللخفاظ على امضداقة البيانات. 


ا ی ا ا ای ا کے ن او و اا 


يستخدم الهاش في برامج 08١ 501۲٥8‏ بكثرة » لأنه يمكن تعديلها و نسبها للشركة الأم (هذا هو ۷55 
الماجرة قى مراكم الك 


الهاش من أنواعه القديمة : 4 Birthday Attack ةڌgرٔ¦Ûڊ asa ji MD4 :Message Digest‏ 
ومن أنواعه الجديدة والمستعملة بكثرة M05‏ : 5 اsمو0i‏ موهءء6( لكن يقال أيضا انه تم كسره عن 


طريق ٥1۸‏ وان جميع لجان الاتحاد الأوروبي لم تعد تستعمله. 


أحدث انواعه وأقواها هر ۳ ۸ S1H۸4-1 -Secure Hash Algor)‏ وھو المستخدم في متصفح ٤ا‏ . 
مع العلم أن الهاش ككهء١٠١م‏ ة۷ 0١8‏ بمعنى انه لا تستطيع إرجاع شيء من الهاش المنتج. 
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من خلال ما تم ذکره سابقا یمکننا القول بأنه عند القيام بعملية التشفير فإن عمليتين أسا سیتین يتم تنفيذهما 
الأولى : تشفير محتويات الرسالة لمنع الوصول لمحتواها الثانية التأكد من سلامة البيانات التي تم تشفيرها 
وبالتالي التأكد من عدم حدوث أي عملية تعديل على هذه البيانات . 


وتسمى هذه الطريقة ب (أ1985ك) والتي يتم من خلالها أخذ الرسالة الطويلة وتحويلها إلى شفرة نصية قصيرة 
> وهذه العملية وحيدة الاتجاه أي لا يمكن استرداد البيانات بعد تحويلها باستخدام توابع التلخيص (اءهواك) 
وبعد ذلك يتم تشفير هذه السلاسل النصية القصيرة مما يسرع من عملية التشفير باعتبار أن النص المخرج 
هو نص صغير نسبيا ونحصل ما يدعى ” رمز توثيق الرسالة ” والذي يتم إضافته للرسالة قبل إرسالها كما 


هو الحال في الصورة التالية 


Massage 


8 Digest ™ 
Algorith IM ار‎ 


Hash 


Secret _1 


Key Block ™ 
„Cipher 


Massaqga 
Authentication God a 


شكل(7.3): يوضح توثيق الرسالة 


1. أن يكون من الصعب جدا عكسه ( أي استعادة النص بعد أن تم تطبيق التوابع عليه ). 
2. صعوية التكرار أي آنه من الصعب جدا أن يتم تطبيق التوابع على رسالتين مختلفين واعطاء الخرج 
وأكثر خوارزميتين مستخدمتين في هذا المجال هما ( 5۳4ء105 ) » و اللتان وجدتا طريقهما إلى 
بروتوكولات الدفع الالكتروني. 
MD5.1‏ : 

خوارزمية (105) هي جزء من مجموعة خوارزميات ( متضمنة 104 ,022 تم تطويرها من قبل 


أكeاRi Rone‏ وتقوم خوارزمية 105 على إضافة حقل طول للرسالة ومن تم تبطين هذا الحقل ضمن عدة 


أجزاء من الكتل حجم الكتلة منها هو 512 بت. 


يقوم التشويش بإخراج سلسلة من القيم ذات حجم 128 بت مستخرجة من معالجة الكتلة الأخيرة من الرسالة. 
2. خوارزمية التشويه المحمي The Secure Hash Algorithm (SHA)‏ : 

قام المعهد الوطني للمعايير القياسية والتقنيات ( ١|51‏ ) بإصدار سلسلة من المعايير القياسية في عام 
3 م إحداها تحدد خوارزمية التشويش المحمية (5۳14) وهي تعتمد بشكل كبير جدا على عمل ( ۸0۳6 
P4‏ في خوارزمية (105). تعمل خوارزمية التشويه المحمية على أربع مراحل كما هو الحال في 
)M0(‏ إلا أن هذه المراحل أكثر تعقيدا. إن خرج الرسالة الملخصة هو 160 بت والذي هو عبارة عن سلسلة 


من القيم التي يتم انتقالها من مرحلة إلى أخرى والتي هي بطول 160 بت أيضا[28]. 
8..3. أنظمة كش llتطJ: IDS ( Intrusion detection systems)‏ 


معظم المنشآت سواء كانت صغيرة أو كبيرة تحتاج إلى جهاز إنذار ضد السرقة للحفاظ على المعلومات 

القيّمة لديها » وقد ظهر نظام جديد يغني عن أجهزة الإنذار ويؤدي وظيفتها على أكمل وجه وهو ما يعرف 
بنظام كشف التطفل الذي هو في جوهره نظام إنذار ضد السرقة › يعمل على مراقبة الشبكة واصدار إنذارا“ 
فيما إذا شك بأن الشبكة تتعرّض للهجوم في وقت ما. 
يوجد آليتان لكشف التطفل: 
الكشف عن الوضع llٹlذ:) (Anomaly detection‏ 

هذه الطريقة مبنية على أساس مراقبة سلوك المستخدمين في النظام الاعتيادي وتخزين السلوك في النظام › 
فهي تقوم على أساس مقارنة السلوكيات مع الحزم الإلكترونية لاكتشاف الانحرافات» و من أبرز مساوئ هذه 
الآلية صدور إنذارات إيجابية خاطئة (5٣4۲|ا۸‏ عء۷أوه۴ ماه ۴)نتيجة اكتشاف هجمات غير معرفة. 


(Misuse detection ):ةءlıإl الكشف عن‎ 


تعتمد على مقارنة الصفات المتعلقة بالحزم مع الصفات المخزنة في قاعدة البيانات» و من أبرز مساوئ 


هذه الآلية هو انحصارها فقط عل الهجوم المعروف في قاعدة البيانات[29]. 


9..3.الجدار الناري )۴!۲٥۷21(‏ 


هو جهاز أو برنامج يفصل بين المناطق الموتوق بها في شبكات الحاسوب» ويكون أداة مخصصة أو 
برنامج على جهاز حاسوب آخر» الذي بدوره يقوم بمراقبة العمليات التي تمر بالشبكة ويرفض أو يقرر أحقية 
المرور ضمناً لقواعد معينة[3]. 


ظهرت تقنية الجدار الناري في أواخر التمانينات عندما كانت الإنترنت تقنية جديدة نوعاً ما من حيث 
الاستخدام العالمي. الفكرة الأساسية ظهرت استجابة لعدد من الاختراقات الأمنية الرئيسية لشبكة الإنترنت 
التي حدثت في أواخر الثمانينات[12]. 

3 وظيیفته 


رظيفة الجذار التاري داخل الشيكة هو مفم اختراق .الشبكات الخاضتة وقي الحالة الثانية يفترض به أن 
يحتوي ويؤخر المخاطر الموجود في بيئة معينه من الانتقال إلى بيئة أخرى[3]. 


من دون الإعداد الملائم فإنه غالباً ما يصبح الجدار الناري عديم الفائدة. فممارسات الأمان المعيارية تحكم 
بما يسمى بمجموعة قوانين "المنع أولاً" للجدار الناريء الذي من خلاله يسمح بمرور فقط وصلات الشبكة 
المسموح بها بشكل تخصيصي» ولسوء الحظ فان إعداد مثل هذا يستلزم فهم مفصل لتطبيقات الشبكة ونقاط 
النهاية اللازمة للعمل اليومي للمنظمات» العديد من أماكن العمل ينقصهم مثل هذا الفهم وبالتالي يطبقون 
مجموعة قوانين 'السماح أولاً'٠‏ الذي من خلاله يسمح بكل البيانات بالمرور إلى الشبكة ان لم تكن محددة 


بالمنع مسبقاً. 
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ا‎ Network 


e 
Cg 


Packet Filtering Router | 


1 1 Modem 
Intformdîion & ver 


أول بحث نشر عن تقنية الجدار الناري كانت عام 1988ء عندما قام مهندسون من )0٤٥(‏ بتطوير نظام 
فلترة عرف باسم جدار النار بنظام فلترة العبوةء هذا النظام الأساسي يمثل الجيل الأول الذي سوف يصبح 
عالي التطور في مستقبل أنظمة أمان الإنترنت» تعمل فلترة العبوات بالتحقق من العبوات (5أ#)٥هم)‏ التي 
تمتل الوحدة الأساسية المخصصة لنقل البيانات بين الحواسيب على الإنترنت. إذا كانت العبوة تطابق 
مجموعة قوانين فلتر العبوة فإن النظام سيسمح بمرور العبوة أو يرفضها يتخلص منها ويقوم بإرسال استجابة 


3 آلية عمل الجدران النارية: 
هناك ثلاثة طرق تستند إليها الجدران النارية في آلية عملها: 


|. تصiة (Packet Filtering) :aj>ll‏ 
تنتقل المعلومات على هيئة حزم تمّر خلال الجدار التاري الذي يقوم بدوره بفحصها والتحقق من موافقتها 
للشروط. 

(Proxy Service) :ةnدخll‎ Jيsو‎ lI 

يعيّن الجدار الاري نفسه وكيلاً عن الشبكة الداخلية فيكون بذلك قد حجب عناوين الشبكة الداخلية وبالتالي 


يتم إرسال البيانات إلى عنوان الجدار الناري الذي يقوم بدوره بتوجيهها إلى وجهتها الأصلية. 


ااا. مراقبة اlسيlق‏ :)^ (Stateful Inspectio‏ 
إن الجدار الناري هنا يقوم بفحص حقول معيّنة في الحزم فلا يفحص مكونات الحزم كلها بل يعمل على 
مقارنتها بالحقول المناظرة لها بنفس السياق (مجموعة الحزم الإلكترونية المتبادلة عبر شبكة الإنترنت) › 
وعندما يكتشف أن حزم معينة لم تلتزم بقواعد السياق فإن ذلك دليل قاطع على وجود اختراق يهد أمن 


الموقع. 


وهناك عدة معايير يمكن استخدامها لمعرفة فيما إذا كانت الحزم صحيحة وهي كالاآتي[25]: 


1. العنوان الرقمي: )۱٥ Ad r5s(‏ 
هو رقم لكل مشترك على الشبكة العنكبوتية يوفر للجدار الناري المقدرة على التحكم بالسماح أو المنع 
لمرور الحزم القادمة. 
2. اسم illطlق: (Domain Name)‏ 
3. بروتوکول التخاطب:(۱٥٥٤٥٥٣۴)‏ 
وهي طريقة للتخاطب وتبادل المعلومات بين العميل والمنشأةء أمَّا بالنسبة للعميل فقد يكون شخص أو 


برنامج کالمتصفح(8۲0W6۲).‏ 
تتعدد هذه البروتوكولات و أبرزها ما يلي [26]: 


بروتوکول :۳۲۳۴ يستعمل لتبادل المعلومات بين المتصفح وجهاز الخادم. 

بروتوکول: ۴۳۴ يستخدم لنقل الملفات عوضاً عن إرسالها كمرفقات )۸)٥۸۳۴۸۲(‏ في البرید 
الإلكتروني. 

* بروتوكول :5۴ يستعمل لنقل البريد الإلكتروني. 

" بروتوكول :51۴ يستعمل لإدارة الشبكات وجمع المعلومات. 

" بروتوكول 1٥1٣6:‏ يستعمل للتحكم بالجهاز عن بعد. 

(Application Layer Firewal|) تاقaيبطتلا جدار النار لطبقة‎ 3.9.3 


الفائدة الرئيسية من الجدار الناري لطبقات التطبيقات أنه يمكن أن 'يفهم 'بعض التطبيقات والأنظمة مثل 
نظام نقل الملفات "05" تصفح المواقع ويمكنه أن يكتشف إذا ما كان هنالك نظام غير مرغوب فيه يتم 


تسريبه عبر مرافئ غير اعتيادية أو إذا كان هنالك نظام يتم إساءة استخدامه بطريقة مؤذية ومعروفة. 


وظيفة: التحقق العميق للعبوة الحالية للجدران الحديثة يمكن مشاركتها مع أنظمة منع الاختراق.(۴5|) 


تعمل الجدران النارية لطبقات التطبيقات على مستوى التطبيق لفئة "۴١١۴٥۲"مثل‏ جميع أزمة المتصفح» 
أو جميع أزمة "٤1ا٤۲"‏ و "۴۴ ويمكن أن يعترض جميع العبوات المنتقلة من والى التطبيق)» ويمكن 
أن يحجب العبوات الأخرى دون إعلام المرسل عادة. في المبداً يمكن لجدران التطبيقات النارية منع أي 


اتصال خارجي غير مرغوب فيه من الوصول إلى الأجهزة المحمية[22]. 


عند تحري العبوات جميعها لإيجاد محتوى غير ملائم» يمكن للجدار الناري أن يمنع الديدان (5٣0۲س)‏ 
والأحصنة الطروادية (5ه5١ه"‏ ١4زه١٠)‏ من الانتشار عبر الشبكة. ولكن عبر التجربة تبين أن هذا الأمر 
يصبح معقدا جداً ومن الصعب تحقيقه (مع الأخذ بعين الاعتبار التنوع في التطبيقات وفي المضمون المرتبط 
بالعبوات) وهذا الجدار الناري الشامل لا يحاول الوصول إلى مثل هذه المقاربة. 


الحائط الناري 1× يمتل نوعاً أكثر حداثة من جدار طبقات التطبيقات الناري.[21] 


Application-Level Gateway تlãبطتئl مستوی منذ‎ 4.9.0.3 
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شكل(9.3): منفذ التطبيقات 


أو ما یسمی 56۲۷۵6۲ ۴۲٥۸۷‏ حيٿث يعمل كمنظم للطبقة السابعة من (۲٥L2yا‏ ۸ ٥icatiاApp)‏ ا08 حیٹث 
يخرج المستخدم للعالم الخارجي عن طريق 640۷2۷ باستخدام تطبيقات °|/C۲۶٥1°مJû Telnet «FTP‏ 
حيث 646۷3۷ تسأل المستخدم الذي يريد الاستفسار عن اسم المستخدم و كلمة المرور للمصادقة لكي 
يتم إكمال الاتصال و حينها تتطابق بالصواب فإن الاتصال يتم فإذا كانت الخدمة لم يتم تعريفها في ۴٣×۷‏ 
٣اه‏ فإن الاتصال أو الخدمة المطلوبة لن يتم إتمامها و من هذه الخاصية فإن مدير الشبكة يستطيع 
السماح فقط للخدمات التي يريد تداولها و استخدامها و منع الأخرى . يميز هذه الطريقة هو أنها تسمح 
بمراقبة و تسجيل كل ما يحصل في كل التطبيقات العليا و السفلى[23]. 


Juniper « Microsoft. Cisco « :Firewall Linuxةجتinll‎ تاnظنملا من أشهر‎ 


10.3.3.المنطقة ائلمحlيدö‏ ) Demilitarized Zone ( DMZ‏ 
أطلق مصطلح المنطقة المنزوعة السلاح على المنطقة الجغرافية المحايدة بين الأطراف المتنازعة» وصار 
هذا المصطلح يستخدم في شبكات الحاسب للدلالة على المنطقة الشبكية الفاصلة والمحايدة بين شبكة 

المنظمة الخاصة والشبكة العالمية كوسيلة لحماية شبكة المنظمة. 


شكل(10.3): المنطقة المنزوعة السلاح بين الكوريتين الشمالية والجنوبية - الشريط الأبيض الفاصل 


3 تعریف 


يعتبر التصميم المادي للشبكة (روهاممه )kامساه")‏ من العوامل الأساسية لأمن الشبكات» وحتى لو تم 
تعديل هذا التصميم لأسباب أمنيةء فإنها في النهاية لابد أن تعكس متطلبات المنظمة ومتطلبات مستخدميهاء 
ومن هنا أتت فكرة مناطق llشبكة (Network Zones)‏ ]30[. 

المنطقة المنزوعة السلاح هي واحدة من هذه المناطق الشبكية والتي تستخدم لتقليل الأخطار المحتملة على 
شبكة المتظمة الخاصة من الاتصالات الغير المصرحة القادمة من الشبكة العالمية ويالتالي إمكانية تسرب 
مائات النظمة اة 


المنطفة المحايد؟ 1‡4ا0) 


8 خوادم السبكة العلمية 
. خوادم تطببفت ارمع 
وظاقف عبر حساسة | 


| ھ فقوا بيا بباناك ارمع فباناات 


17 انط البادة ال مط 


كما نرى في الشكل أن بإمكان مستخدمي الشبكة العالمية من الاتصال بالمنطقة المحايدة من شبكة المنظمة 
لكن ليس بإمكانهم الدخول إلى شبكة المنظمة الخاصة. 

في الشكل أيضا نرى جدارين ناريين» الهدف من الجدار الناري الأول بين الشبكة العالمية والمنطقة المحايدة 
من شبكة المنظمة هو حماية الخوادم الموجودة في المنطقة المحايدة - والتي بطبيعتها لابد أن تكون مرئية 


للعالم - من الهجمات عن طريق الشبكة العالميةء وهذه الحماية بناءا على الفلترة كالسماح لبروتوكولات 
معينة بالمرور مثل (1۲۳۲۶۹۰۳1۲۲۶ ) ومنع البرتوکولات الأخری متل ٣۴۱٣۵۲١۴۲۴(‏ ). 


والهدف من الجدار الناري الثاني بين المنطقة المحايدة والمنطقة الخاصة من شبكة المنظمة هو تزويد حاجز 
أمني مقوى لحماية المنطقة الخاصة»ء وأيضا كما في الجدار الثاني هذه الحماية بناء! على الفلترة كالسماح 
لبروتوكولات معينة بالمرور مثل (٥٤08ل )008٥,‏ و يجب أن تكون الفلترة في هذا الجدار الناري مقيدة 
أكثر من الجدار الناري الأولء ففي حالة اختراق الجدار الناري الاول فإن احتمالية اختراق الجدار الناري 
الثاني أقل [30]. 


الشبكة الخاصة المنطفة المحايدة 017 الشبكة العالمية ل1 


خلام الشيكة العالبة 
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شكل(12.3): المنطقة المحايدة (تصميم فيزيائي) 


الخوادم التي يجب وضعها في المنطقة المحايدة 


بشكل عام أفضل مكان للخوادم وقواعد البيانات المعدة للتعامل مع الشبكة العالمية هو منطقة الشبكة 
المحايدة» ومن الأمثلة على هذه الخوادم التالي: 


(Web Servers) ةيملlalا خوادم الشبکة‎ * 


* خوادم بروتوکول نقل الملفات (5 56۷e‏ ۴۲۴) 
" خوادم الاتصال البعيد 


" خوادم البريد الإلكتروني 


إجراءات خاصة للمنطقة المحايدة: 


> تقوية الخوادم من خلال فحص و تقليص التغرات الأمنيةء وذلك لأن المنطقة المحايدة عرضة للاختراقات 
القادمة من الشبكة العالمية. 

تعطيل الخدمات غير المستخدمة» مثل الحسابات الزائدة و خدمة نقل الملفات .(FTP)‏ 

> عمل فحص و تدقيق دوري لأنشطة الخوادم. 

> التأكد من تركيب آخر التحديثات للخوادم. 

> التأكد من أن الخوادم مجهزة بالشكل الكافي و المطلوب. 

تحديات المنطقة المحايدة 

الأداء:بطء أداء الشبكة بسبب الزيادة في عدد الأجهزة والموجهات» وهذا لأن المنطقة المحايدة تعتبر تقنيا 


كشبكة فرعية » وانشاء شبكة فرعية يختلف عن التوسع في الشبكة نفسها. 
الإدارة:ارتفاع تكلفة إدارة ومراقبة وصيانة الشبكةء و هذا ناتج عن إضافة شبكة فرعية. 
المرونة: قد لا تتوافق جميع التطبيقات مع هذه المعماريةء فإضافة شبكة فرعية قد يتعارض مع معمارية 
2.10.3.3 تقنية أوعية العسل (Honey pots(‏ 
هي تقنية تستخدم في المناطق المحايدة لإبعاد الاختراقات المحتملة على شبكة المنظمة» و هي عبارة عن 


خوادم مزودة ببرامج و بيانات تظهر و كأنها موثوقة و صحيحة لتوجيه أنظار المخترقين إليها و صرفهم عن 
لرا 


فائدة أخرى من هذه التقنية ألا وهي إعطاء انطباع عن أساليب المخترقين للاستفادة منها في صد هجماتهم 
وتطوير أنظمة الحماية. لكن عدم تجهيز هذه التقنية بالشكل الصحيح قد يشكل خطرا على شبكة المنظمة!؛ 
لأن هذه الخوادم تحاول محاكاة الخدمات المقدمة من الشبكةء وبدلا من أن تكون محاكاة قد تكون تنفيذ فعلي 
للخدمة[3]. 


+ 


برامج حماية الشبكات 


الملحق: برامج حماية الشبكات 

هم برامج حماية الشبكات 

إن كنت الشخص المسؤول عن أمن الشبكة في شركتك» فلا بد أنك تشعر بحاجة دائمة وملحة للحصول 
على عدد كبير من المعاونين» فالوقت لا يتسع إطلاقاً لتهيئة الشبكة للتعامل مع العدد الهائل من المخترقين 


أظهر استطلاع للرأي أجراه 'معهد أمن الحواسیب (eاںان†sہ| )computer Security‏ 'بالتعاون مع مکتب 
التحقيقات الفدرالية )۴8I(‏ في الولايات المتحدةء في العام 2003ء حول الأمن وجرائم الحواسيب» أن تكاليف 
الهجمات عبر الإنترنت باهظة جداًء كما هو متوقع. فقد أعلنت 250 مؤسسة شاركت في هذه الدراسة 
السنوية التي تجرى للعام التامن على التوالي» عن خسائر بلغت 202 مليون دولار» نتيجة أسباب تراوحت 
بين المعلومات ذات الملكية الخاصةء وهجمات حجب الخدمة (005) > والفيروسات» واساءة استخدام 
الموظفين داخل الشركة لحقوق الوصول إلى الشبكة. 

كيف يمكنك أن تحسن من المستوى الأمني لشبكتك؟ 


من الواضح أن الخطوة الأولى تكمن في تحديد نقاط الضعف التي يعاني منها نظامك. ولا تكتفي برامج 
فحص الشبكات ونقييم نقاط الضعف الأمنية assessment scanners)‏ nerabilityاvu)‏ 'بکشف 
الأخطاء الأمنية الموجودة في الشبكة تلقائياً» بل يمكنها أيضاً أن تصحح تلك الأخطاء أحياناً. وعلى الرغم 
من توفرها منذ سنوات» لم تنضج هذه الأدوات إلا مؤخراًء فقد تحولت إلى منتجات شاملة وسهلة الاستخداء 
على الرغم من كونها معقدة قليلاء حيث أصبحت توفر مزايا كإنشاء تقارير مفصلة حسب رغبة المستخدم» 
وتقييم الأخطار عبر أجهزة موزعة» ولتصحيح اللقائي للمشاكل المحتملة. 
ويمكن لبرامج الفحص هذه أن تحدد الاختلالات البرمجيةء والفيروسات» ونقاط الضعف في سياسات التحكم 
بالوصول» وتشمل نقاط الضعف الشائعة في محطات العمل:منافذ "6810S‏ المفتوحةء وخيارالمشاركة على 
الملفات والطباعة(9 and Printer 5٣21,‏ eاأ۴)‏ » بالإضافة إلى المشاكل الناجمة عن تشغيل مزودات 
ویب غير موؤمَنة أو تشغیل زبائن شبکات لالند لiد .(peer to peer)‏ 
وتستطيع برامج حماية الشبكات كذلك أن تكتشف الإعدادات غير السليمة للتطبيقات» التي يمكنها أن تترك 


الشبكة مكشوفة دون حماية. فقد كانت الإعدادات القياسية لمزود البريد الإلكتروني ٥9٣c۸2ء×ع‏ من 
مايكروسوفت مثلًء تجعل المزود يعمل كبدالة لبروتوكول نقل البريد البسيط(5SM۲۴)‏ › ما يجعله متاحاً 
للاستغلال من قبل مرسلي البريد الإلكتروني التطفلي (۳هم5) ويؤدي هذا الأمر إلى 'اختطاف" المزود 
واستخدامه لإرسال ملايين رسائل البريد الإلكتروني التي تظهر كبيانات شرعية تنتقل خلال الشبكة الضحية. 


وتقدم بعض برامج فحص الشبكات كذلك» إمكانية إدارة عمليات تركيب الرقع الأمنية 


(patch management )‏ أو نشر تحديثات للبرمجيات تهدف لتصحيح أي اختلالات برمجية في 
التطبيقات» علماً أن مزودات ويب ومزودات البريد الإلكتروني وأنظمة التشغيل» تتطلب تركيب الرقع الأمنية 
بشكل متكرر» وهو أمر يظهر جلياً في منتجات شركة مايكروسوفت » كونها منتجات يكثر استهدافها .لكن 
يدور جدل حالياً حول شدة تعقيد برمجيات إدارة تركيب الرقع الأمنيةء الأمر الذي لا يسمح بالاعتماد عليها 
وحدها لإنجاز المهمةء تركز جولتنا على ستة من برامج 'حماية الشبكات وتقييم نقاط الضعف الأمنية "التي 
تستخدم لتحديد نقاط الضعف المحتملة في خدمات الشبكات التي تعتمد على بروتوكول نقل النص المتشعب 


(1۲۳۴)» وبروتوکول نقل الملفات(۴۳۶) » وبروتوكول نقل البريد البسيط (5۷1۲۶) وتسمح هذه الأدوات 


برنامج زبون على كل جهاز سيخضع للفحص. فبرامج حماية الشبكات وتقييم المخاطر التي تعتمد على 
برامج زبونة تتطلب تركيب برنامج صغير على كل جهاز» لجمع معلومات أكثر تفصيلاً عن نقاط الضعف 
الأمنية التي يعاني منهاء وتجمع هذه البرامج الزبونة معلومات حول نقاط الضعف على مستوى النظام 
(عوضاً عن نقاط الضعف على مستوى التطبيقات أو الخدمات)» مثل صلاحيات الملفات» وخصائص 
حسابات المستخدمين > واعدادات سجل üllظpl (Registry)‏ > واعدادات التطبيقات» ثم ترسلها إلى قاعدة 
بيانات مركزية» وهي بذلك تقلل من حجم البيانات التي تنتقل عبر الشبكة مقارنة ببرامج فحص الشبكات التي 
لا تعتمد على برامج زبونة» ويوفر لهذا السبب› برنامج 5.0 Netl|A ةSرژ ja Security Analyzer‏ 
الخاضع للاختبار في جولتنا إصدارة اختيارية تعتمد على استخدام برامج زبونةء لم نختبر في هذه الجولة 
أدوات تقييم المخاطر الأمنية التي يمكن استخدامها من خلال الإنترنت» كالأداتين اللتين تقدمهما شركتا 
Quays ر۴ound stone‏ تجري هذه الأدوات فحصاً لشبكتك من الخارج» بفحص عناوين ١۴‏ من 


الإنترنت لتحديد التهديدات الخارجيةء لكن أصبح اليوم بإمكان عدد متزايد من هذه الخدمات أن تقيّم أيضاً 


الأنظمة الداخلية في الشبكة ونقاط الضعف الأمنية التي تعاني منهاء نختبر في جولتنا هذه» قدرة كل من 


برامج الفحص التي تعمل عبر الشبكة مباشرة على تقييم الأخطار وإنشاء التقارير» وعلى تصحيح مواضع 


نقاط الضعف التي قد تؤدي إلى نشوء بيئة حوسبة غير آمنة. وألقينا كذلك» نظرة على أداتين مجانيتين 


لفحص الشبكات» با لإضافة إلى أداة للتدقيق في شبكةء وجهاز عتادي للأمن. 
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GFILANguard Network Security 5ca^€r شكل(1): برنامج‎ 


يغطي برنامج 3.3 G۴۱ LAN guard Network Security SC@^€r‏ مهام فحص الأخطاء الأمنية 
الأساسية بشكل جيدء إلا إنه يفتقر لبعض القدرات المتطورة المتوفرة في المنتجات الموجهة بشكل أكبر نحو 
الشركات»› مثل برنامج Security جaliı, e Eye ãكرû ja Retina Network Security 5Ca^€r‏ 


A2۷۲ 5.0‏ من شركة.6۲1۵١‏ فهذا البرنامج لا يستطيع أن يقدم نظرة معمقة حول النصوص 


البرمجية 


لواجهة البوابة العامة )06I(‏ » وهي ميزة متوفرة في برنامج ۵١ا86‏ » كما لا يمكنه فحص بعض أنواع عتاد 
الشبکات» کالروترات (۵۲5اده) لکن تکالیفه تبقی أقل کتیراً من تکالیف منتجات شرکتي ۵ر٤٥‏ و ۸6۱۵» 
فإذا رغبت في تتفيذ عملية فحص أساسيةء يكفي أن تدخل عنوان ١١‏ أو مجالاً محدداً والضغط على زر 
البدء )83١(‏ ويقدم لك البرنامج أنواعاً عديدة من التشكيلات الأمنية مسبقة التعريف» كإمكانية إجراء 
الفحص باستخدام 'بروتوكول التحكم برسائل الإنترنت )|C۴(‏ فقط لكشف الأخطار»ء أو فحص جميع 
المنافذ (Üكأ۲هم)‏ المتوفرة» أو فحص وجود أي مشاركة مفتوحة للملفات» أو افتقار النظام لأي رقعة 
أمنية (40۸م) ويمكنك كذلك» أن تعرف تشكيلاتك الخاصة لعمليات الفحص الأمنيةء كما يمكن للمستخدم 
بدون أن يملك الحقوق الخاصة بمدير النظام في نطاق ويندوز» أن يختار أسماء حواسيب معينة أو عناوين 
بروتوكول 1۸٥‏ أو منافذ مفتوحةء أو إصدارات أنظمة تشغيل معينة» أو معلومات خاصة ببروتوكول إدارة 
الشبكات البسيطة (۶١S؟)‏ » وذلك من خلال بنية شجرية من النتائج المصنفة حسب عناوين ۴| للأجهزة 
أما إذا كنت تملك حقوق إدارة النطاق كاملاًء فيمكنك أن تحصل على معلومات عن كل نظام بدرجة أكبر 
ن اادد م لرا كارك ادات الع فمن الماك المتاخة وافات كلمات ارو 
والمعلومات حول سجل النظام» والرقع الأمنية المركبةء ويمكن أن تتضمن عملية الفحص أيضاًء البحث عن 
محاولات إساءة استخدام واجهة البوابة العامة (06I)بالإضافة‏ إلى الأخطار الأمنية المتعلقة ببروتوكول نقل 
الملفات (۴۲۴) أو نظام أسماء النطاقات (0۸5) أو البريدء أو الخدمات» أو سجل النظام. وتصتّف 
النتائج ضمن مجموعات حسب فئات محددة» وتتضمن إما توصيات بالخطوات الواجب إتباعها أو العلاج 
المتاح» أو وصلة مرجعية إلى موقع نظام تتبع الثغرات الأمنية 819۲۲۵٩‏ أو إلى موقع قاموس 'نقاط 
الضعف والاكتشافات الأمنية الشائعة (0۷۴) "الذي يعطي لكل ثغرة أو خطر أمني معروف اسما رسمياً 
شائعاً» أو إلى إحدى نشرات مايكروسوفت الأمنية (^ )Microsoft Security Bulle)‏ على الإنترنت. 
ويمكنك أن تنشئ تقاريرك الخاصة وأن تحفظها باستخدام أداة توليد التقارير» بحيث تلبي احتياجاتك الأمنية 
بالتحديدء فيمكنك مثلاً توليد تقرير حول جميع الأنظمة التي يكون فيها المنفذ 80 التابع لبروتوكول التحكم 
بالإرسال )۳٥۴(‏ مفتوحاً عبر الإنترنت» أو التي يكون فيها المنفذ 21 مفتوحاً عبر بروتوكول نقل الملفات 
(۴۳۶)ویتضمن البرنامج» ومتله برنامجا ۸61١8‏ و5 |5۸ برنامجاً خدمياً يسمح لك بمقارنة تقريرين 


مع بعضهماء بحتاً عن أي مدخلات جديدة أو محذوفة أو متغيرةء بالإضافة إلى توضيح أي تغيير يطرأ على 


التحذيرات أو التحديثات المتاحة» وتسوق الشركة المنتجة برنامج 1۸١913۲۵‏ على أنه حل لنشر وإدارة 
الرقع الأمنية» ويعمل البرنامج خلال فحص شبكة ويندوز على تحديد الرقع الأمنية التي تم تركيبها على 
الأنظمةء وبالتالي تحديد الرقع الأمنية الناقصة»ء وذلك بالاعتماد على معلومات بالتنسيق بين شركة |6۴ 

ومايكروسوفت» ويمكن للبرنامج أن ينشر الرقع الأمنية (التي تطلق مايكروسوفت عليها اسم 'إصلاحات 
ساخنة 5ه×ا؟ 0٤‏ "بالإضافة إلى نشر رزم انئخدlnٽت)packs (service‏ ومن الجدير ذكره هناء هو أن 
عملية إدارة الرقع الأمنية تعتبر عملية معقدة ومتعددة الأوجهء ويحبذ لذلك ألا تعتمد فحسب على برنامج 
فحص الثغرات الأمنية لتحديد التحديثات الواجب تركيبها بضغطة زر» فالشركات الكبرى مثلاًء تعتمد على 
برامج النشر التابعة للتطبيقات التي تملكها أصلاًء مثل برنامج Computer ةSرژ jم Unicenter‏ 

.Associates‏ أو برنامج أاه۷آ من 8۷| لتحديث الأنظمة المرتبطة بنقطها الشبكيةء وذلك من خلال 
تركيب الرقعات الأمنيةء أما بالنسبة للشركات التي لا تملك مثل هذه البرامج» فيعتبر تشغيل برنامج 'تحديث 
ويندوز (02ملا sس0ك"”۷i)‏ "على كل من النقط الشبكية أفضل الحلول المتوفرة من الناحية الأمنية. 
ونحن ننصح الشركات من مختلف الأحجام» أن تحلل بدقة كل رقعة أمنية قبل نشرها على أجهزتهاء لمنع 
وقوع أي تضارب محتمل مع التطبيقات والخدمات المركبة أصلاً على هذه الأجهزة» يتوفر برنامج 
0ا 1A‏ كإصدارة تجريبية لمدة 30 يوماًء بحيث تتوقف بعض المزايا عن العمل بعد انقضاء هذه المدة 
مثل علميات الفحص المجدولة للعمل في وقت محدد» وأداة توليد التقارير» وميزة مقارنة النتائج» وتنزيل 
التحديثات الأمنية عبر الإنترنت» ونشر الرقع الأمنية الخاصة بنظام ويندوز» إلا إذا اشترى المستخدم رخصة 


لاستخدام البرنامج. ويعتبر المنتج خياراً جيداً بالنسبة لمدراء النظم الذين 


يحتاجون لبرنامج فحص أساسي وسريع ومنخفض التكالیف [موقع ویب "۸6050.00 WwW .٣29‏ ] 
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MegaPing جمlنرب شكل(2):‎ 


يشبه برنامج ja MegaPing‏ رة LA NGuard جمnاiرب Magneto Software‏ في كونه أداة جيدة 
لتنفيذ عمليات فحص الشبكات الأساسية» خاصة إذا نظرنا إلى سعره المنخفض» لكن لا يقدم هذا المنتج 
عدداً كبيراً من الفحوصات» بالإضافة إلى أن الفحوصات التي يمكنه إجراءها على أنظمة لينكس أو يونيكس 
لا تتعدى فحص نقاط الضعف المتعلقة بالمنافذء ويتضمن برنامج ۴١9‏ 1694 أدوات مستقلة تعمل على 
إجراء الفحوصات بحتاً عن معلومات محددة. وتسمح لك أداة فحص عناوين ١۴‏ بفحص مجال محدد من 
العناوين» لتتعرف على العناوين الفعَالةء ثم تعمل على استخلاص أسماء الأجهزة التي تمثلها هذه العناوين› 


عند تفعيل الخيار الموافق. كما تتيح أداة فحص خدمات بروتوكول "6810S‏ أن تفحص مجالات محددة 
من عناوين ۴| والأجهزة المستقلة .كما يمكن فحص نطاق (١1٣٥0ك)‏ بأكمله» واستخلاص عناوين 
بروتوكول 1۸٥0‏ » أو أسماء الأجهزة المتصلة بالشبكة حسب بروتوكولN68|0S‏ » أو أسماء المستخذمين 
المتصلين بالشبكة لحظة إجراء الفحص» وتسمح أداة فحص الموارد المشتركة (Shared S4 ١7۴۲(‏ 
باكتشاف الموارد المشتركة ضمن مجال محدد من عناوين ١۴‏ أو ضمن نطاق معين» وتتيح أخيراًء أداة 
فحص المنافذ التي تعتبر آخر أداة مستقلة يتضمنها البرنامج» بفحص مجال من المنافذء بما في ذلك كل من 
المنافذ المخوّلة (كأامم ك مzأ۲ه٣ااه)‏ التي تتشكل من المنافذ الشهيرة والديناميكية والخاصة المسجلة في 
النظام» والمنافذ القابلة للاختراق (كأامم «اأأوم٣)‏ التي عادة ما يستخدمها المخترقون في محاولات اختراق 
الأنظمةء وتظهر نتائج الفحص المنافذ المفتوحة التي تمكن البرنامج من التعرّف عليها على جميع الأنظمة 
التي شملها الفحص» بالإضافة إلى قائمة تظهر الاستخدامات الممكنة لكل منفذء سواء العادية منها أو القابلة 
للاختراق» وتستطيع كل وحدة من وحدات الفحص المستقلة أن تنشئ تقارير اختيارية يمكن حفظها إما بهيئة 
أو كهيئة نصية (1×1) ولکن خلافاً لبرامج 1AN 921٩‏ و Retina‏ و5 SAINT‏ لا يتضمن 
برنامج (692۴1١9‏ أداة خدمية للمقارنة بين عمليات الفحص المتعددةء أو لإعلام جهات أخرى بنتائج 
الفحص» كإعلام قائمة من المزودات أن المنفذ 25 لبروتوكول نقل البريد البسيط (5۷1۲۴) قد وجد فيها 
ا 
كما تستغرق عملية الفحص كاملة كثيراً من الوقت نسبياًء خاصة إذا كنت ترغب بإجراء عملية فحص شاملة 
لشبكتك» لكن يقدم البرنامج» لحسن الحظ, إمكانية تشغيل كل فحص بشكل مستقل» ثم إنشاء تقرير منفصل 
عنه» ويستطيع برنامج ١9‏ 693۴ء خلافاً لبعض البرامج الخاضعة للاختبار في جولتناء أن يبين للمستخدم 
حالة جميع منافذ بروتوكول "التحكم بالإرسال )۲٥۴(‏ 'وبروتوكول "براق البيانات للمستخدم (0۴لا) 'في كل 
من الأنظمة الخاضعة للفحص» وعلى الرغم من أن معظم برامج الفحص تعمل على تحليل الأجهزة عن بعد 
إلا أنه من المفيد التعرف على المنافذ المفتوحة في هذه الأجهزةء وعلى المنافذ التي تحاول التنصت على 
نظامك محلياًء ويمكنك» إذا كنت تملك حقوقاً إدارية مناسبة للنظام» أن تستخدم البرنامج لتجري فحصاً لوجود 
الرقع الأمنية التي تنتجها مايكروسوفت في الأجهزة التي تتضمن أنظمة ويندوز» وتركيب هذه الرقع عند 
اللزوم. لكن كما ذكرنا في مراجعة برنامج 1۸۸613۲۵اء فإننا لا ننصح أن يعتمد مدير النظام على برنامج 


فحص نقاط الضعف الأمنية فقطء للقيام بمهمات إدارة تركيب الرقع الأمنيةء يتضمن برنامج ۷92۴9 
أيضاًء عدداً من البرامج الخدمية الإضافية التي لا تتعلق بفحص الجانب الأمني للشبكةء مثل: أدوات البحث 
عن اسم محدد في نظام أسماء النطاقات )0۸١N5(‏ » وأمر تتبع الطريق (eاںها ))٣۵٥6‏ وأمر f ٣96۲‏ و 
و”اموأمر التعرف على اسم مالك عنوان ۴| محدد(sاہ۷) ٠‏ والتعرف على زمن الشبكة (ew0۲)‏ 
(6اء بالإضافة إلى مجموعة من أدوات إنشاء التقارير حول العمليات الفعالة في النظام» التي تشبه بعملها 
عمل برنامج 147398۲ Wi ہ"ل0سs ask‏ الموجود في نظام ویندوز» لكنها تمتاز بتطور أكبر» وتعتبر 
هذه جميعاً من الأدوات التي لا يمكن لمدير النظام أن يستغني عنها. ويمكنك تنزيل إصدارة تجريبية من 
البرنامج لمدة 30 يوماً من موقع الشركة المنتجةء يقتصر عملها في مراقبة وفحص الجانب الأمني لخمسة 
أجهزة. 
يعتبر برنامج ۷692۴١9‏ مله مثل برنامج 1۸۸61۲١‏ ملائماً للاحتياجات الأساسية لمدراء النظم في 
مجال فحص الشبكات» لكن بتكلفة قليلة. وسيعجب البرنامج مدراء النظم الذين يفضلون امتلاك برامج خدمية 
منفصلة لتلبية احتياجاتهم » عوضاً عن مجموعة الفحوصات الأكثر اتساعاً التي يقدمها برنامج 


[ www.magnetosoft.C0" ويب‎ gژga]‎ .LANGuard 
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شکل(3): برنامج 8اsیمN‏ 


لا تضاهي أي من المنتجات الأخرى هذا البرنامج للفحص الأمني عن بعدء من ناحية القيمة التي يقدمهاء 
فهو مجاني يهدف مشروع ۱۴55۷ الذي يتبع مبداً المصادر المفتوحة» حسب تصريح ريناود ديرايسون 
الذي يرجع فضل إنشائه إليه» إلى 'توفير برنامج فحص أمني عن بعد لمجتمع الإنترنت» يتمتع بالقوة وسهولة 
الاستخدام» وسرعة التحديث والمجانية"»ويقدم البرنامج فعلاًء مجموعة قَيّمة من إعدادات وخيارات الفحص»› 
على الرغم من أنها قد تبدو أكثر من المطلوب بالنسبة لبعض المستخدمين» وقد يحتاج مدير النظام إلى 
تكريس كم كبير من الوقت لتعلم النواحي المعقدة من البرنامج ليتمكن من استخدامه بفعالية أكبر» بني برنامج 
6‰ ااعتماداً على معمارية الزبون/ المزودء وهو يتيج للمستخدم تشغيل برنامج إدارة النظام» الذي يعمل 
على إجراء فحوصات لنقاط الضعف الأمنيةء وإنشاء وتخزين قواعد بيانات بتلك الفحوصات على جهاز آخر 


غير المزود» وتتوفر إصدارات زبونة من البرنامج لواجهة جافا وواجهة ويندوز (۷۷132)ء وواجهة 11× » ما 


يجعل البرنامج فعااًء أداة متعددة المنصات» يمكنها فحص أنظمة لينكس» وويندوز» ويونيكس» ويقدم البرنامج 
كماً مذهلاً من الفحوصات المخصصة» على شكل برامج مضافة (5١|-ودام)‏ وتقدم هذه البرامج المضافة 
فحوصات مثيرة للاهتمام يمكنها البحث عن نقاط الضعف في أجهزة الروترات التي تنتجها شركة 50ا٣‏ 
وغيرها من الشركات» بالإضافة إلى فحص نصوص |6© البرمجيةء وأخطاء طوفان الذاكرة الوسيطة للشيفرة 
البرمجي (buffer overruns)‏ > ووصلات الوصول عن بعد والأبواب الخلفية ( 00۲8 ٥)‏ ه0) التي قد 
تتركها البرامج» وبروتوكول 'استدعاء الإجراءات عن بعد(٣۸R۴)‏ '"» وبروتوكول إدارة الشبكات 
البسيطة(SNMP).‏ 
ركب البرنامج على محطة عمل تعتمد على نظام التشغيل 9 ×دماا ة۳ ۸6۴۵ وكانت المفاجأة السارة هي 
سهولة إتمام مهمة التركيب من خلال النصوص البرمجية الخاصة بالعملية» وهو أمر غير معتاد في عالم 
برمجيات المصادر المفتوحةء استخدم بعد إنهاء عملية التركيب» الأدوات التي تعتمد على الأوامر السطرية 
(i6ا‏ 20۹صص0) لإضافة مستخدم اولي للنظام» ولتوليد مصدَقة خاصة بكل جهاز زبون. واستطعنا بعد 
ذلك أن نشعّل برنامج 65515" وأن ندخل إلى واجهة استخدام نظام 11× بدون حدوث أية مشاكل» ويمكنك 
إما تعديل إعدادات عملية الفحص حسب رغبتك» أو أن تستخدم إعداداته القياسيةء غير أن تعديل الإعدادات 
يستغرق وقتاً كبيراً نسبياً من مدير النظام» وذلك بناء على مدى تنوع الشبكة والأجهزة المرتبطة بهاء ويمكنك 
أيضاًء أن تصنف إعدادات فحص منافذ النظام ضمن مستويات متعددة» لتتيح للبرنامج أن يأخذ في حسبانه 
عند إجراء الفحص وجود الجدران النارية وأنظمة تحرّي وجود محاولات الاختراق (intrusion detecti0”)‏ « 
ونقترح عليك» لتحصل على معلومات أكثر دقة وتفصيلاً حول الأجهزة التي تتضمن أنظمة ويندوز ضمن 
نطاق شبكة ويندوز» أن تنشئ حساباً جديداً ومجموعة مستخدمين جديدة للنطاق» ومنحهما صلاحية الوصول 
إلى سجل النظام عن بعدء ولا يتيح لك هذا الأمر أن تصل إلى إعدادات سجل النظام فحسب» بل أن تصل 
كذلك إلى مستويات الرقع الأمنية ورزم الخدمات (كkعهم‏ هءا۷آه5) المركبةء والى نقاط الضعف الأمنية في 
المتصفح إنترنت إكسبلورر» وإلى الخدمات الفعَالة في النظام الخاضع للفحص» ويتم عرض نتائج الفحص 
مصنفة حسب النطاقات والأجهزة ونقاط الضعف الأمنية في كل منهاء وتظهر التقارير إلى جانب نقاط 
الضعف التي وجدت» عدداً كبيراً من الاقتراحات التي تشرح طبيعة المشكلة بالإضافة إلى سرد الحلول 
الممكنة .وتظهر النتائج أيضاً» وصلات إلى قاموس انقاط الضعف والاكتشافات الأمنية الشائعة ' 


Common Vulnerabilities and Exposures, CVE)‏ )في الموقع ۲6.0۲9 أ".cve. www‏ الذي 
يسرد قوائم بنقاط الضعف الأمنية المعروفةء وإلى موقع شبكة ۲6٥۲۸۸6۲‏ من مايكروسوفت في الموقع 
www .nicrosoft.com /technet‏ الذي يعتبر مورداً مهماً عبر الإنترنت لمدراء تقنية المعلومات» وتوفر 
هذه الميزة لمدراء النظم إمكانية الحصول على معلومات من موارد مهمة وإمكانية تنزيل الرقع الأمنية اللازمة 
لكننا لاحظنا أن الخلاصات التي يقدمها البرنامج ضمن التقارير» تفتقر قليلاً إلى المرونة في التعاملء كما لا 
يقدم البرنامج النتائج مصنفة ضمن مجموعات حسب منهجيات تصنيف مختلفة» كتصنيفها حسب نقاط 
ضعف أمنية محددةء أو نوع أنظمة التشغيل في الأجهزةء أو شدة الخطورة» مثلما هو متوفر في برنامج 
Security Analyzer 5.0‏ من N6۵‏ وفي برنامج5 ١‏ |5۸ لكن يمكنك إنشاء التقارير بواحد من 6 
هيئات مختلفة» بما في ذلك المخططات الدائرية (أ2۲١ء‏ ءأم) والجداولء ما يتيح لك الإطلاع على النتائج 
من منظور ذي مستوى أعلى» وهو أمر ضروري أحياناً. لكن على الرغم من ذلك» تؤدي حقيقة افتقار 
البرنامج لإمكانية عرض النتائج مصنفة حسب نوعهاء إلى التقليل من تنوع الهيئات المتاحة لعرض التقارير . 


سیعجب برنامج 65515 معظم مدراء النظم الذين يرغبون بالحصول على أداة فحص شاملة بالإضافة إلى 
الحصول على معرفة معمقة وطويلة الأمد في مجال الأخطار الأمنية التي تتعرض لها الشبكات. 
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Retina Network Security 5c4^€rجمliرڊ شكل(4(:‎ 
lÎ eEye Digital Security ãكرû‎ ja Retina Network Security Scanner يعتبر برنامج‎ 


مكتملة الميزات وجيدة التنظيم ومتعددة الأوجه لفحص وجود نقاط الضعف الأمنية في الشبكات» وهو يقدم 
فحوصات لنقاط الضعف الأمنية التي تعاني منها أنظمة لينكس ويونيكس وويندوز» بالإضافة إلى قدرته على 
إصلاح الكثير من المشاكل التي يكتشفها تلقائياًء كما يتيح للمستخدم إنشاء فحوصات مخصصة حسب 
رغبته» وقد مكنت هذه المزايا برنامج ۸6١‏ من نيل قصب السبق» وانتزاعه لقب خيار المحررين في هذه 
الجولةء وتعتبر ميزة 'الإصلاح التلقائي" واحدة من أكثر أدوات برنامج ۸6٤1١4‏ إثارة للإعجاب» وهي ميزة 
فريدة بين المنتجات المختبرة الأخرى» فهي تتيح لمدراء النظم الذين يملكون صلاحيات مناسبة أن يصلحواء 
بنقرة واحدة» أعطال سجل النظام (۷٣اءأ9ة۲)‏ ومشاكل صلاحيات المستخدمين المتصلين بالشبكة عبر العقد 


الشبكية عن بعد» وتكمن الميزة المثيرة الأخرى التي يقدمها البرنامج في أداة التدقيق الفريدة التي يتضمنهاء 
والتي تسمح للمستخدم أن يطور استعلامات مخصصة حول نقاط الضعف الأمنية التي يعلم بوجودها في 
شبکته > لکن يعتبر Retina‏ برنامج فحص الشبكات الوحيد في جولتنا الذي يتضمن هذه الوظيفة التي نتيح 
تشكيلة من الفتات» تتضمن عدداً من الخدمات الشائعة والمزودات وحتى نقاط الضعف الأمنية المتعلقة 
بالتجارة الإلكترونيةء أو يمكنك إنشاء فحوص تدقيقية خاصة بك بالكاملء وتضمينها لاحقاً كجزء من عملية 
الفحص الشاملةء ثم أن توجه هذه الفحوص بحيث يتم تطبيقها على أهداف مختارة .ويمكنك تحديد خيارا 
معينة للفحوصات» كفحص إصدارات محددة من البرمجيات» أو فحص نصوص برمجية لواجهة البوابة 
العامة (ا06) ٠‏ أو الرقع الأمنيةء أو مدخلات سجل النظام» كانت عملية تركيب البرنامج مباشرة» وأجرى 
خلالها برنامج ۸6١4‏ عملية مزامنة لقواعد بيانات تعريف نقاط الضعف الأمنية مع مزود شركة ٥ر٤6‏ 
.)hrowser(‏ والمتتبع(r2°€۲(‏ › والمنّب (۲٥ہi٣)‏ > والفاحص )5٥4١١8۲(‏ يسرد متصفح ويب المدمج 
(8ا0الكل منهاء تم يظهر نتائج أزمنة الاستجابة. أما وحدتا المنقب والفاحص» فيشكلان الدماغ المفكر في 
عمل البرنامج» حيث يحاول محرك الذكاء الصناعي الذي أنتجته الشركة» والذي تعتمد عليه وحدة المنقب أن 
يحاكي سلوك المخترق من خلال مهاجمة نقاط الضعف الأمنيةء وقد كانت وحدة الفاحص إحدى أفضل 
الوحدات المماثلة بين البرامج المختبرةء من حيث السرعة والدقةء وبعد أن تعرّف الجهاز المراد فحصه أو 
المجال المحدد من عناوين ۴| » تعمل وحدة الفاحص على كشف جميع العقد الشبكية التي تعطي رد فعل 
يدل على وجودهاء ثم إجراء مجموعة من الفحوصات مسبقة التعريف على هذه الأهداف» وتظهر النتائج 
بهيئة يمكن تصفحها بسهولة بالغة» بحيث يتم سرد الأجهزة التي خضعت للفحص ضمن إطار واحد» ونقاط 
الضعف الأمنية المحتملة في إطار آخر لكن لا يسمح البرنامج للأسف بتصنيف النتائج حسب نوع هذه 
ويتم تصنيف نتائج الفحص ضمن مجموعات حسب مستوى الخطورة المعرض له كل من الأجهزة الخاضعة 
للفحص» وتتضمن النتائج» بشكل شبيه ببرنامجي 5.0 NetlQ ja Security Analyzer‏ و5 «SAINT‏ 


معلومات شديدة التفصيل حول المشكلات التي تم العثور عليهاء والحلول الممكنة. ويظهر برنامج ۸)١2‏ 
وصلات وأرقاماً لتعريف كل من نقاط الضعف الأمنية المكتشفة حسب نظام تتبع الثغرات الأمنية ٩١1و8u‏ 
وحسب قاموس 'نقاط الضعف والاكتشافات الأمنية الشائعة(C۷۴) ٠"‏ وحسب نشرات مايكروسوفت الأمنية 
Security Bulletin)‏ اMicrosof))»‏ التي تعتبر جميعاً قوائم مرجعية لنقاط الضعف الأمنية المعروفةء 
ويبني محرك إنشاء التقارير 3 أنواع من المخططات مسبقة التعريف» هي :التقارير الكاملةء والتقارير 
التنفيذية المختصرةء والتقارير التقنيةء ويمكنك أيضاًء أن تخصص تقريراً بما يلائم متطلباتك الخاصة» وهي 
ميزة تغيب عن جميع المنتجات الأخرى في هذه الجولةء باستثناء برنامج 5 ١١ا5۸‏ ويقدم برنامج R1١4‏ 
عموماًء أفضل توازن بين المزايا والقوة وقابلية الاستخدام والسرعة بين جميع المنتجات في هذه الجولة [موقع 
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يتوفر برنامج 5 5۸|١١‏ لمنصات نظامي يونيكس ولينكس فقط» ويعتبر أحد أكثر برامج فحص وجود 
نقاط الضعف الأمنية تعقيداً في هذه الجولةء ويمكنك تعديل إعدادات هذه الأداة بشكل بالغ الكثافةء حيث 
يمكنك أن تشكّل بتفصيل شديد الفحص الأكثر ملائمة لطبيعة شبكتك» وأن تحدد عمق عمليات الفحص التي 
ترغب بإجرائهاء بل ويمكنك كذلك» إنشاء فحوصات محددة لإجرائها على قواعد البيانات والخدمات 
والتطبيقات ٠‏ لكن أكثر ما أثار إعجابنا في البرنامج هو الشمولية التي يتمتع بها في أسلوب عرضه لنتائج 
الفحوصات التي يجريهاء فقد تضمنت النتائج مثلاًء معلومات تفصيلية ووصلات إلى جميع المصادر الأمنية 
المتعلقة التي يمكن أن تسلط مزيداً من الضوء على النتائج» كما يتيح البرنامج تعديل النتائج» بحيث يمكن 
ترتيبها حسب مواصفات محددة» مثل الاسم ونقاط الضعف الأمنية وشدة الخطر الذي تشكله» وعلى الرغم 
من السمعة السيئة حول صعوبة تركيب تطبيقات نظامي لينكس ويونيكس عامة»ء إلا أننا وجدنا عملية تركيب 
البرنامج بالغة السهولة» وفور إتمام عملية التركيب يتم تشغيل البرنامج ضمن نافذة متصفح قياسية» تمتاز 
بواجهة كثيفة وجيدة البنية. ويتم إلحاق محتوى إعدادات عمليات الفحص بقواعد بيانات يتم إنشاؤها ضمن 
نظام الملفات التابع لبرنامج الإدارةء بحيث تحتوي كل قاعدة بيانات على بيانات خاصة بعملية الإعداد 
والنتائج والتقرير المرافقء ما يسهل من ربط ودمج مختلف البيانات التي ينشئها البرنامج» يتمتع البرنامج بميزة 
مفيدة» تكمن في إمكانية إعداده للدخول إلى نطاقات ويندوز ببساطة» من خلال استخدام اسم المستخدم 
وكلمة المرور الخاصة بمدير النظام» وذلك لإجراء الاختبارات التي تتطلب التحقق من الهوية قبل الدخول 
إلى النظام» ويقدم البرنامج» مثله في ذلك مل ۲ ۷6ا۸۵ راا Su‏ من شركة ۸6۲1۵ » عدداً محدداً من 
الفحوصات مسبقة الإعداد والموجهةء وهي ميزة مفيدة تؤدي إلى توفير الوقت على المستخدم. ومن الأمثلة 
الجيدة على هذه الفحوصات» فحص "أخطر 20 نقطة ضعف أمنية للإنترنت حسب معهد'؟N8١SA‏ '"» 
»)SANS ۲P 20 Most Critical Internet Security Vulnerabilities)‏ وھو اختبار يفحص جمیع 
العقد الشبكية المستهدفة باحتاً عن أي من الأخطار الأمنية العشرين الأكثر شيوعاً والأكثر خطراً على 
شبكات الإنترنت حسب معهد "مدراء الأنظمة والشبكات والأمن5١5S4,‏ ويتم إنشاء تقارير البرنامج» التي 
تعتبر خارجة عن المعتاد» ضمن برنامج مرفق يسمی۲ W۲۲۴‏ 5۸۱۲ ۰ وھو برنامج فرید ینشئ تقاریر 
مسبقة الإعداد مفصلة بطريقة تلبي احتياجات الموظفين الإداريين والتقنيين» ويتيح لك هذا البرنامج المرفقء 
بفضل الميزة التي يقدمها لاكتشاف الأنماط المتشابهةء أن تقارن بين نتائج الفحوصات الواردة في تقريرين أو 


أكثر» لكن للأسف لا تتوفر ميزة الاستعلام ضمن التقرير» أو إمكانية تصنيف النتائج في مجموعات» وهما 
ميزتان تسمحان للمستخدم أن يتعرف بدقة على وجود مشاكل محددة» وعلى الرغم من أن ميزة إنشاء التقارير 
المتوفرة في البرنامج أعمق من متيلاتها المتوفرة في المنتجات الأخرى في هذه الجولةء إلا أنها قد تؤدي إلى 
إظهار نتائج كثيفة أكثر من المطلوب» خاصة عند إجراء فحوصات على شبكات كبيرة الحجم. 
لكن يبقى 5 |5۸ عموماًء برنامجاً غنياً بالمزاياء يقدم قدرات تحليلية مكثفةء ونحن ننصح بكل تأكيد أن 


تأخذ البرنامج في اعتبارك إذا كانت شبكتك تتضمن عدداً كبيراً نسبياً من أنظمة لينكس ويونيكس. 
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